تستهدف حملة جديدة لمجموعة القرصنة الحكومية الإيرانية المشتبه بها MuddyWater المنظمات في إسرائيل وفي جميع أنحاء الشرق الأوسط باستخدام باب خلفي مخصص لم يُرصد من قبل، وفقًا لبحث جديد.
تم تحليل متغير البرامج الضارة الجديد، الذي تم اكتشافه في شهر مايو/ أيار 2024، من قبل الباحثين في Check Point، الذين أطلقوا عليه اسم BugSleep، بالإضافة إلى الباحثين في Sekoia، الذين أطلقوا عليه اسم MuddyRot.
وبحسب شركة Check Point، التي يقع مقرها الرئيسي في تل أبيب، فإن الأداة الجديدة لا تزال قيد التطوير: حيث احتوت بعض العينات التي تم جمعها للتحليل على أخطاء، كما كانت أجزاء من الكود مكتوبة بشكل سيئ. ومع ذلك، قال الباحثون في تقرير صدر يوم الاثنين إن الجهة المسؤولة عن التهديد “تعمل باستمرار على تحسين وظائف BugSleep ومعالجة الأخطاء”.
في حملة حديثة، ورد أن MuddyWater استخدمت BugSleep ضد منظمات لم يتم ذكر اسمها في إسرائيل – أحد الأهداف الأكثر شعبية للمجموعة. ومن المرجح أيضًا أن يكون المتسللون قد هاجموا دولًا أخرى، بما في ذلك أذربيجان، كما يتضح من رسائل التصيد التي استخدموها.
ترتبط مجموعة MuddyWater بوزارة الاستخبارات والأمن الإيرانية وكانت نشطة منذ عام 2017 على الأقل. وقد استهدفت المجموعة في السابق كيانات حكومية وبلديات ومنافذ إعلامية ووكالات سفر في إسرائيل وتركيا والمملكة العربية السعودية والهند والبرتغال.
يتيح نشر BugSleep للمتسللين تنفيذ الأوامر عن بعد على النظام المصاب ونقل الملفات بين الجهاز المصاب وخوادم المهاجم.
وفقًا لشركة Check Point، من المرجح أن يكون BugSleep قد تم إنشاؤه ليحل جزئيًا محل اعتماد المجموعة على أدوات الإدارة عن بعد المشروعة (RMM) التي نشروها سابقًا على أجهزة ضحاياهم.
وقالت شركة سيكويا في تقريرها الخاص يوم الاثنين: “من المرجح أن يكون الرصد المتزايد لأدوات RMM من قبل بائعي الأمن، في أعقاب ارتفاع إساءة استخدامها من قبل الجهات الفاعلة في التهديد الخبيث، قد أثر على هذا التغيير”.
ولاحظ الباحثون تغييرات أخرى في تكتيكات المجموعة خلال الحملات الأخيرة.
في السابق، كانت MuddyWater تستخدم في الغالب رسائل بريد إلكتروني خبيثة مخصصة يتم إرسالها إلى عشرات الأهداف في نفس القطاع. ومع ذلك، تحولت المجموعة مؤخرًا إلى “إغراءات التصيد ذات الموضوعات العامة، ولكن المصممة جيدًا”، وفقًا لشركة Check Point، مثل الدعوات إلى الدورات التدريبية عبر الإنترنت ومواقع الويب، كما في حالة أذربيجان.
وأضاف باحثو تشيك بوينت أن “هذا النهج يسمح لهم بإعادة استخدام نفس الطُعم عبر أهداف ومناطق مختلفة”.
وبحسب سيكويا، فإن التغيير الآخر هو أن القراصنة بدأوا على ما يبدو في تضمين الروابط الخبيثة في ملفات PDF بدلاً من رسائل البريد الإلكتروني. وكانت عمليات التصيد السابقة التي قاموا بها تتضمن رابطاً إلى خدمة تخزين على الإنترنت تستضيف أرشيف ZIP خبيثاً، والذي يحتوي على برنامج المراقبة والإدارة عن بعد.
منذ بدء الحرب بين إسرائيل وحماس في أكتوبر/ تشرين الأول 2023، زادت شركة MuddyWater أنشطتها بشكل كبير في إسرائيل ودول أخرى، وفقًا للباحثين.
وبشكل عام، قالت شركة Check Point إنها حددت منذ فبراير/ شباط 2024 أكثر من 50 رسالة بريد إلكتروني احتيالية مرتبطة بـ MuddyWater تستهدف أكثر من 10 قطاعات وتم إرسالها إلى مئات المستلمين.