BugSleep - backdoor mới được sử dụng trong chiến dịch tấn công của nhóm MuddyWater

Nam Anh Mai D.'s photo
·

4 min read

BugSleep - backdoor mới được sử dụng trong chiến dịch tấn công của nhóm MuddyWater

Trong quá trình hunting thông tin các chiến dịch tấn công của tin tặc trên không gian mạng, đội ngũ FPT Threat Intelligence ghi nhận thông tin nhóm tin tặc MuddyWater đã phát triển một loại backdoor mới có tên BugSleep trong các chiến dịch phishing nhắm tới người dùng trong khu vực Israel, Ả Rập, Thổ Nhĩ Kỳ, Ấn Độ và Bồ Đào Nha.

1. Thông tin chi tiết

Theo báo cáo từ đội ngũ kỹ sư nghiên cứu bảo mật của Checkpoint, một loại backdoor mới với cái tên BugSleep vừa được triển khai trong chiến dịch tấn công gần đây của nhóm tin tặc MuddyWater nhắm tới người dùng tại khu vực Trung đông, đặc biệt là khu vực Israel trong bối cảnh leo thang căng thẳng quân sự giữa Israel và Iran thời gian gần đây.

Thông qua các email Phishing, các tin tặc MuddyWater hướng tấn công tới các tổ chức và nạn nhân làm việc trong nhiều lĩnh vực khác nhau. Các email này có nội dung được tuỳ chỉnh khác nhau, đa số là các lời mời tham gia hội thảo trên web hoặc các khoá học trực tuyến và chuyển hướng nạn nhân đến nền tảng chia sẻ tệp an toàn Egnyte có chứa các payload độc hại. Trong báo cáo của Checkpoint, hãng đã đưa ra so sánh giữa hai email Phishing nhắm tới nạn nhân tại Israel và Ả Rập:

Các trường so sánhMail Phishing 1Mail Phishing 2
Gửi từTài khoản email bị chiếm đoạt của công ty Ả RậpTài khoản email bị chiếm đoạt của công ty Israel
Gửi tớiCác công ty khu vực Ả RậpCác công ty khu vực Israel
Liên kết đính kèmEmail bao gồm một liên kết chuyển hướng tới tên miền của EgnyteEmail bao gồm tệp tin PDF có nhúng liên kết
PayloadCông cụ Atera RMMBackdoor BugSleep

2. Chuỗi tấn công

Chuỗi tấn công lây nhiễm backdoor được đội ngũ các nhà nghiên cứu bảo mật của Checkpoint mô phỏng lại như sau:

Egnyte - một nền tảng chia sẻ tệp tin, cho phép người dùng và công ty chia sẻ tệp tin thông qua trình duyệt web. Các tin tặc đã lợi dụng nền tảng này để tạo ra một tên miền tuỳ chỉnh, phù hợp với tên công ty có tài khoản bị xâm phạm phục vụ cho các cuộc tấn công. Một khi nạn nhân truy cập và tải xuống tệp tin thực thi hợp lệ đã nén dưới dạng .ZIP từ trang web này, backdoor BugSleep đồng thời được tải xuống kèm theo cùng tệp tin. Chỉ cần nạn nhân thực hiện khởi chạy tệp tin thực thi hợp lệ trên, backdoor lập tức tiêm các đoạn mã vào tệp tin này và khởi tạo kết nối tới máy chủ C2 (Command & Control).

Phân tích sâu hơn về BugSleep, các nhà nghiên cứu bảo mật của Checkpoint phát hiển backdoor này cũng có khả năng tiêm các payload độc hại vào tiến trình của nhiều ứng dụng được sử dụng rộng rãi như Microsoft Egde, Google Chrome, AnyDesk, Microsoft OneDrive, PowerShell và Opera. Điều này gia tăng thêm độ nguy hiểm của BugSleep khi nó được lây nhiễm thành công trên máy của nạn nhân.

3. IOCs

Domains
kinneretacil.egnyte[.]comnour.egnyte[.]com
salary.egnyte[.]comairpazfly.egnyte[.]com
gcare.egnyte[.]comcairoairport.egnyte[.]com
rimonnet.egnyte[.]comsilbermintz1.egnyte[.]com
alltrans.egnyte[.]comsmartcloudcompany[.]com
megolan.egnyte[.]comonlinemailerservices[.]com
bgu.egnyte[.]comsmtpcloudapp[.]com
fbcsoft.egnyte[.]comsoftwarehosts[.]com
cnsmportal.egnyte[.]comairpaz.egnyte[.]com
alkan.egnyte[.]comairpazflys.egnyte[.]com
getter.egnyte[.]comfileuploadcloud.egnyte[.]com
ksa1.egnyte[.]comdownloadfile.egnyte[.]com
filecloud.egnyte[.]com
URLs
shorturl[.]at/NCxJk
shorturl[.]at/bYqUx
ws.onehub[.]com/files/bbmiio1c
ws.onehub[.]com/files/zgov9aqy
Địa chỉ IP máy chủ C2
146.19.143[.]145.252.23[.]52
91.235.234[.]202194.4.50[.]133
85.239.61[.]97193.109.120[.]59
95.164.32[.]69
Địa chỉ IP gửi email Phishing
89.221.225[.]81185.248.85[.]20
45.150.108[.]198141.98.252[.]143
200.200.200[.]24831.171.154[.]54
169.150.227[.]230146.70.172[.]227
169.150.227[.]205198.54.131[.]36
Mã băm BugSleep
73c677dd3b264e7eb80e26e78ac9df1dba30915b5ce3b1bc1c83db52b9c6b30e
960d4c9e79e751be6cad470e4f8e1d3a2b11f76f47597df8619ae41c96ba5809
b8703744744555ad841f922995cef5dbca11da22565195d05529f5f9095fbfca
94278fa01900fdbfb58d2e373895c045c69c01915edc5349cd6f3e5b7130c472
5df724c220aed7b4878a2a557502a5cefee736406e25ca48ca11a70608f3a1c0
Mã băm RMM MSI
39da7cc7c627ea4c46f75bcec79e5669236e6b43657dcad099e1b9214527670e
c23f17b92b13464a570f737a86c0960d5106868aaa5eac2f2bac573c3314eb0f
fb58c54a6d0ed24e85b213f0c487f8df05e421d7b07bd2bece3a925a855be93a
7e6b04e17ae273700cef4dc08349af949dbd4d3418159d607529ae31285e18f7
ff2ae62ba88e7068fa142bbe67d7b9398e8ae737a43cf36ace1fcf809776c909
e2810cca5d4b74e0fe04591743e67da483a053a8b06f3ef4a41bdabee9c48cf7
90f94d98386c179a1b98a1f082b0c7487b22403d8d5eb3db6828725d14392ded
20aaeac4dbea89b50d011e9becdf51afc1a1a1f254a5f494b80c108fd3c7f61a
55af6a90ac8863f27b3fcaa416a0f1e4ff02fb42aa46a7274c6b76aa000aacc2
f925d929602c9bae0a879bb54b08f5f387d908d4766506c880c5d29986320cf9
Mã băm tệp tin nén chứa backdoor
424a9c85f97aa1aece9480bd658266c366a60ff1d62c31b87ddc15a1913c10e4
c80c8dd7be3ccf18e327355b880afb5a24d5a0596939458fb13319e05c4d43e9
c88453178f5f6aaab0cab2e126b0db27b25a5cfe6905914cc430f6f100b7675c
31591fcf677a2da2834d2cc99a00ab500918b53900318f6b19ea708eba2b38ab
a0968e820bbc5e099efd55143028b1997fd728d923c19af03a1ccec34ce73d9b
88788208316a6cf4025dbabbef703f51d77d475dc735bf826b8d4a13bbd6a3ee
4064e4bb9a4254948047858301f2b75e276a878321b0cc02710e1738b42548ca
e7896ccb82ae35e1ee5949b187839faab0b51221d510b25882bbe711e57c16d2
1c0947258ddb608c879333c941f0738a7f279bc14630f2c8877b82b8046acf91
8fbd374d4659efdc5b5a57ff4168236aeaab6dae4af6b92d99ac28e05f04e5c1
7e14ca8cb7980e85aff4038f489442eace33530fd02e2b9c382a4b6907601bee
02060a9ea0d0709e478e2fba6e9b71c1b7315356acc4f64e40802185c4f42f1c
53b4a4359757e7f4e83929fba459677e76340cbec7e2e1588bbf70a4df7b0e97
0ab2b0a2c46d14593fe900e7c9ce5370c9cfbf6927c8adb5812c797a25b7f955

4. Tham khảo

  1. Checkpoint: https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/