آزاده کیاپور
گروه هکری موسوم به آبگلآلود یا مادیواتر (MuddyWater) که ادعا میشود یک تیم سایبری وابسته به ایران است، بدافزار جدیدی را با بکدور (درب پشتی) سفارشی، برای هدف قرار دادن سازمانهای اسرائیلی ارتقا داده است. این گروه که منابع غربی آن را وابسته به ایران مینامند در سال ۲۰۲۲ به دلیل حملات سایبری علیه آلبانی، ایالات متحده و متحدانش، از سوی آمریکا تحریم شد.
طبق ادعای موسسه چکپوینت (Check Point)، گروه مادیواتر اخیرا به یک کمپین ضداسرائیلی پیوسته که چندین گروه ایرانی را شامل میشود و پس از حملات هدایتشده حماس در ۷ اکتبر ۲۰۲۳ بهکار گرفته شده است. این گروه، اکنون کمپینهای فیشینگ را در دستورکار قرار داده که از طریق آن بدافزار جدید درب پشتی به نام باگاسلیپ (BugSleep) را منتشر میکند.
فریبهای فیشینگ این گروه سایبری، اخیرا از دعوتنامه برای شرکت در وبینارها و کلاسهای آنلاین استفاده کردهاند. طبق بررسی چکپوینت، این گروه از فوریه گذشته، بیش از ۵۰ ایمیل فیشینگ را به صدها نفر در 10 حوزه اقتصادی اسرائیل ارسال کرده است.
در گزارش تیم اطلاعاتی بخش تهدید چکپوینت آمده است: «در میان این حملات، کمپینهای فیشینگ قابلتوجهی وجود دارد که بهویژه شهرداریهای اسرائیل و گروهی وسیعتر از خطوط هوایی، آژانسهای مسافرتی و خبرنگاران را هدف قرار داده است.»
این ایمیلها معمولا از حسابهای ایمیل سازمانی هکشده ارسال میشدند تا کاربران را برای باز کردن ایمیلها فریب دهند. اگرچه بیشتر این حملات به کسبوکارهای اسرائیلی معطوف شده اما برخی از این ایمیلها به شرکتهایی در ترکیه، عربستان، هند و پرتغال نیز ارسال شده است.
ایمیلها، شامل لینکی هستند که به زیردامنهای از پلتفرم معتبر اشتراکگذاری و همکاری فایل یعنی Egnyte.com هدایت میشود. هنگامی که کاربران روی لینک فیشینگ، کلیک میکنند، نام یک شرکت یا شخص معتبر نمایش داده میشود که به کلاهبرداری اعتبار میبخشد.
در این زمینه، موسسه چکپوینت نوشت: «در لینکی که به یک شرکت حملونقل در عربستان ارسال شده بود، نام صاحب نمایش دادهشده، خالد مشعل، رئیس پیشین حماس و یکی از رهبران برجسته آن بود.»
در حملاتی که شهرداریهای اسرائیل را هدف قرار میدادند، ایمیلها یک اپلیکیشن شهری غیرواقعی را تبلیغ میکردند که «برای خودکارسازی وظایف، افزایش کارآیی و اطمینان از ایمنی حداکثری در عملیاتها» طراحی شده بود. با این حال، با کلیک روی لینک، برنامهای دانلود نمیشود اما بدافزار BugSleep روی دستگاه قربانی نصب میشود.
این بدافزار جدید و سفارشی «تا حدی جایگزین» استفاده گروه هکری مادیواتر در قالب ابزارهای نظارت و مدیریت از راه دور میشود.
چکپوینت اعلام کرد: «ما چندین نسخه از این بدافزار در حال توزیع را کشف کردیم که تفاوتهای بین هر نسخه، بیانگر بهبود و رفع اشکال (و گاهی اوقات اشکالهای جدید) بود. این تاکتیک همچنین تشخیص امضای کد حمله توسط نرمافزارهای امنیتی را دشوارتر میکند.
شکارچیان تهدید سایبری، این بدافزار را بیشتر تجزیه و تحلیل و آن را اینگونه توصیف کردند: منطق اصلی BugSleep در همه نسخهها مشابه است؛ بهگونهای که از تماسهای زیاد با Sleep API برای دور زدن سندباکسها و بارگذاری APIهای موردنیاز برای اجرای صحیح شروع میشود.
سپس یک mutex ایجاد میکند (ما PackageManager و DocumentUpdater را در نمونهها مشاهده کردیم) و پیکربندی آن را که شامل آدرس IP و پورت C&C است، رمزگشایی میکند. تمام تنظیمات و ردیفها به یک روش، رمزگذاری میشوند؛ بهطوری که هر بایت با همان مقدار سخت کدگذاریشده، کمتر میشود.
نمونههای تحلیلشده توسط چکپوینت، نشان میدهد چندین کار زمانبندیشده مختلف، ایجاد شده که هر ۳۰ دقیقه اجرا میشوند و ماندگاری روی دستگاه آلوده را تضمین میکنند. این وظایف، ارسال فایلهای سرقتشده به سرور کنترل و فرمان، نوشتن محتوا در یک فایل، حذف وظایف و ایجاد وظایف جدید و نیز بهروزرسانی زمان خواب و مقدار وقفه را شامل میشوند.
یکی از نمونههای تجزیه و تحلیلشده شامل روشهایی برای کمک به بدافزار برای جلوگیری از شناسایی آن توسط ابزارهای تشخیص نقطه پایان است: ابتدا بدافزار پرچم MicrosoftSignedOnly از ساختار ProcessSignaturePolicy را فعال میکند تا از بارگذاری تصاویری که توسط مایکروسافت تایید نشدهاند، جلوگیری کند. این کار از تزریق DLLهای دیگر فرایندها به این فرایند جلوگیری میکند.
در مرحله بعد، پرچم ProhibitDynamicCode ساختار ProcessDynamicCodePolicy را فعال میکند تا از تولید کد پویا یا تغییر کد اجرایی موجود توسط فرایند جلوگیری کند. فعال کردن ProcessDynamicCodePolicy میتواند برای محافظت از آن در برابر راهحلهای EDR که توابع userland API را برای بازرسی اهداف برنامهها قلاب میکنند، مفید باشد.
نسخه دیگری از بدافزار همچنین شامل یک بارگذار Shellcode سفارشی است. در این زمینه چکپوینت هشدار داد در حالی که این گروه همچنان روی بخشهای خاصی در کمپینهای بدافزار خود تمرکز دارد، این تغییر از از فریبهای سفارشیسازیشده به سمت موارد عمومیتر، باعث میشود تمرکز هکرهای سایبری بر حملات با حجم بالاتر آسانتر شود.