Negli ultimi mesi, il panorama della sicurezza informatica del Medio Oriente è stato scosso da una serie di attacchi sofisticati condotti da un noto gruppo hacker iraniano, MuddyWater. Questo gruppo, affiliato al Ministero dell'Intelligence e della Sicurezza dell'Iran (MOIS), ha recentemente adottato una nuova strategia, utilizzando una backdoor inedita chiamata BugSleep, che sta destando preoccupazione tra gli esperti di cybersecurity.

Un Cambiamento di Strategia

Storicamente, MuddyWater ha fatto affidamento su software legittimi di monitoraggio remoto e gestione (RMM) come Atera per mantenere l'accesso persistente ai sistemi compromessi. Tuttavia, secondo le indagini condotte da aziende di cybersecurity come Check Point e Sekoia, il gruppo ha ora cambiato approccio. Invece di utilizzare strumenti RMM riconosciuti, MuddyWater ha sviluppato un nuovo impianto, denominato BugSleep, che rappresenta un cambiamento significativo nella loro catena di infezione.

Caratteristiche di BugSleep

BugSleep è un impianto x64 sviluppato in C con capacità avanzate. Questo malware può scaricare e caricare file arbitrari sul sistema compromesso, lanciare una shell inversa e stabilire la persistenza. Le comunicazioni con il server di comando e controllo (C2) avvengono tramite un socket TCP grezzo sulla porta 443, mascherando così il traffico malevolo come traffico HTTPS legittimo. Questo metodo rende più difficile l'identificazione e la mitigazione dell'attacco da parte degli strumenti di sicurezza tradizionali.

Modalità di Attacco

Gli attacchi condotti da MuddyWater seguono un modello già visto in passato, con l'uso di email di spear-phishing per compromettere account di posta elettronica aziendali. Questi account compromessi vengono poi utilizzati per inviare ulteriori email di phishing, aumentando la credibilità e l'efficacia delle campagne di attacco. Le email contengono link diretti o allegati PDF che puntano a sottodomini di Egnyte, sfruttati per propagare l'impianto BugSleep.

Obiettivi e Implicazioni

Gli obiettivi principali degli attacchi recenti includono paesi come Turchia, Azerbaigian, Giordania, Arabia Saudita, Israele e Portogallo. Le vittime appartengono a vari settori, tra cui compagnie aeree, aziende IT, telecomunicazioni, farmaceutica, produzione automobilistica, logistica, viaggi e turismo. Questo vasto range di settori evidenzia l'ampiezza delle operazioni di MuddyWater e la loro capacità di adattarsi a diversi ambienti.

Considerazioni Finali

Il passaggio di MuddyWater all'uso di un impianto personalizzato come BugSleep potrebbe essere una risposta all'aumento della sorveglianza sugli strumenti RMM da parte dei vendor di sicurezza. Questo sviluppo sottolinea la necessità per le organizzazioni di rafforzare le loro difese contro le minacce avanzate e di rimanere vigili contro le tecniche di spear-phishing, che continuano a essere un vettore di attacco efficace.

La crescente attività di MuddyWater in Medio Oriente, e in particolare in Israele, mette in luce la natura persistente di questi attori delle minacce, che continuano a operare contro una vasta gamma di obiettivi nella regione. Le loro tecniche evolvono costantemente, rendendo la cybersecurity una sfida in continua evoluzione.

Tweet