Trong quá trình hunting thông tin các chiến dịch tấn công của tin tặc trên không gian mạng, đội ngũ FPT Threat Intelligence ghi nhận thông tin nhóm tin tặc MuddyWater đã phát triển một loại backdoor mới có tên BugSleep trong các chiến dịch phishing nhắm tới người dùng trong khu vực Israel, Ả Rập, Thổ Nhĩ Kỳ, Ấn Độ và Bồ Đào Nha.
1. Thông tin chi tiết
Theo báo cáo từ đội ngũ kỹ sư nghiên cứu bảo mật của Checkpoint, một loại backdoor mới với cái tên BugSleep vừa được triển khai trong chiến dịch tấn công gần đây của nhóm tin tặc MuddyWater nhắm tới người dùng tại khu vực Trung đông, đặc biệt là khu vực Israel trong bối cảnh leo thang căng thẳng quân sự giữa Israel và Iran thời gian gần đây.
Thông qua các email Phishing, các tin tặc MuddyWater hướng tấn công tới các tổ chức và nạn nhân làm việc trong nhiều lĩnh vực khác nhau. Các email này có nội dung được tuỳ chỉnh khác nhau, đa số là các lời mời tham gia hội thảo trên web hoặc các khoá học trực tuyến và chuyển hướng nạn nhân đến nền tảng chia sẻ tệp an toàn Egnyte có chứa các payload độc hại. Trong báo cáo của Checkpoint, hãng đã đưa ra so sánh giữa hai email Phishing nhắm tới nạn nhân tại Israel và Ả Rập:
Các trường so sánh | Mail Phishing 1 | Mail Phishing 2 |
Gửi từ | Tài khoản email bị chiếm đoạt của công ty Ả Rập | Tài khoản email bị chiếm đoạt của công ty Israel |
Gửi tới | Các công ty khu vực Ả Rập | Các công ty khu vực Israel |
Liên kết đính kèm | Email bao gồm một liên kết chuyển hướng tới tên miền của Egnyte | Email bao gồm tệp tin PDF có nhúng liên kết |
Payload | Công cụ Atera RMM | Backdoor BugSleep |
2. Chuỗi tấn công
Chuỗi tấn công lây nhiễm backdoor được đội ngũ các nhà nghiên cứu bảo mật của Checkpoint mô phỏng lại như sau:
Egnyte - một nền tảng chia sẻ tệp tin, cho phép người dùng và công ty chia sẻ tệp tin thông qua trình duyệt web. Các tin tặc đã lợi dụng nền tảng này để tạo ra một tên miền tuỳ chỉnh, phù hợp với tên công ty có tài khoản bị xâm phạm phục vụ cho các cuộc tấn công. Một khi nạn nhân truy cập và tải xuống tệp tin thực thi hợp lệ đã nén dưới dạng .ZIP
từ trang web này, backdoor BugSleep đồng thời được tải xuống kèm theo cùng tệp tin. Chỉ cần nạn nhân thực hiện khởi chạy tệp tin thực thi hợp lệ trên, backdoor lập tức tiêm các đoạn mã vào tệp tin này và khởi tạo kết nối tới máy chủ C2 (Command & Control).
Phân tích sâu hơn về BugSleep, các nhà nghiên cứu bảo mật của Checkpoint phát hiển backdoor này cũng có khả năng tiêm các payload độc hại vào tiến trình của nhiều ứng dụng được sử dụng rộng rãi như Microsoft Egde, Google Chrome, AnyDesk, Microsoft OneDrive, PowerShell và Opera. Điều này gia tăng thêm độ nguy hiểm của BugSleep khi nó được lây nhiễm thành công trên máy của nạn nhân.
3. IOCs
Domains | |
kinneretacil.egnyte[.]com | nour.egnyte[.]com |
salary.egnyte[.]com | airpazfly.egnyte[.]com |
gcare.egnyte[.]com | cairoairport.egnyte[.]com |
rimonnet.egnyte[.]com | silbermintz1.egnyte[.]com |
alltrans.egnyte[.]com | smartcloudcompany[.]com |
megolan.egnyte[.]com | onlinemailerservices[.]com |
bgu.egnyte[.]com | smtpcloudapp[.]com |
fbcsoft.egnyte[.]com | softwarehosts[.]com |
cnsmportal.egnyte[.]com | airpaz.egnyte[.]com |
alkan.egnyte[.]com | airpazflys.egnyte[.]com |
getter.egnyte[.]com | fileuploadcloud.egnyte[.]com |
ksa1.egnyte[.]com | downloadfile.egnyte[.]com |
filecloud.egnyte[.]com |
Địa chỉ IP máy chủ C2 | |
146.19.143[.]14 | 5.252.23[.]52 |
91.235.234[.]202 | 194.4.50[.]133 |
85.239.61[.]97 | 193.109.120[.]59 |
95.164.32[.]69 |
Địa chỉ IP gửi email Phishing | |
89.221.225[.]81 | 185.248.85[.]20 |
45.150.108[.]198 | 141.98.252[.]143 |
200.200.200[.]248 | 31.171.154[.]54 |
169.150.227[.]230 | 146.70.172[.]227 |
169.150.227[.]205 | 198.54.131[.]36 |
Mã băm BugSleep |
73c677dd3b264e7eb80e26e78ac9df1dba30915b5ce3b1bc1c83db52b9c6b30e |
960d4c9e79e751be6cad470e4f8e1d3a2b11f76f47597df8619ae41c96ba5809 |
b8703744744555ad841f922995cef5dbca11da22565195d05529f5f9095fbfca |
94278fa01900fdbfb58d2e373895c045c69c01915edc5349cd6f3e5b7130c472 |
5df724c220aed7b4878a2a557502a5cefee736406e25ca48ca11a70608f3a1c0 |
Mã băm RMM MSI |
39da7cc7c627ea4c46f75bcec79e5669236e6b43657dcad099e1b9214527670e |
c23f17b92b13464a570f737a86c0960d5106868aaa5eac2f2bac573c3314eb0f |
fb58c54a6d0ed24e85b213f0c487f8df05e421d7b07bd2bece3a925a855be93a |
7e6b04e17ae273700cef4dc08349af949dbd4d3418159d607529ae31285e18f7 |
ff2ae62ba88e7068fa142bbe67d7b9398e8ae737a43cf36ace1fcf809776c909 |
e2810cca5d4b74e0fe04591743e67da483a053a8b06f3ef4a41bdabee9c48cf7 |
90f94d98386c179a1b98a1f082b0c7487b22403d8d5eb3db6828725d14392ded |
20aaeac4dbea89b50d011e9becdf51afc1a1a1f254a5f494b80c108fd3c7f61a |
55af6a90ac8863f27b3fcaa416a0f1e4ff02fb42aa46a7274c6b76aa000aacc2 |
f925d929602c9bae0a879bb54b08f5f387d908d4766506c880c5d29986320cf9 |
Mã băm tệp tin nén chứa backdoor |
424a9c85f97aa1aece9480bd658266c366a60ff1d62c31b87ddc15a1913c10e4 |
c80c8dd7be3ccf18e327355b880afb5a24d5a0596939458fb13319e05c4d43e9 |
c88453178f5f6aaab0cab2e126b0db27b25a5cfe6905914cc430f6f100b7675c |
31591fcf677a2da2834d2cc99a00ab500918b53900318f6b19ea708eba2b38ab |
a0968e820bbc5e099efd55143028b1997fd728d923c19af03a1ccec34ce73d9b |
88788208316a6cf4025dbabbef703f51d77d475dc735bf826b8d4a13bbd6a3ee |
4064e4bb9a4254948047858301f2b75e276a878321b0cc02710e1738b42548ca |
e7896ccb82ae35e1ee5949b187839faab0b51221d510b25882bbe711e57c16d2 |
1c0947258ddb608c879333c941f0738a7f279bc14630f2c8877b82b8046acf91 |
8fbd374d4659efdc5b5a57ff4168236aeaab6dae4af6b92d99ac28e05f04e5c1 |
7e14ca8cb7980e85aff4038f489442eace33530fd02e2b9c382a4b6907601bee |
02060a9ea0d0709e478e2fba6e9b71c1b7315356acc4f64e40802185c4f42f1c |
53b4a4359757e7f4e83929fba459677e76340cbec7e2e1588bbf70a4df7b0e97 |
0ab2b0a2c46d14593fe900e7c9ce5370c9cfbf6927c8adb5812c797a25b7f955 |
4. Tham khảo
- Checkpoint: https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/