Nel panorama della sicurezza informatica, emergono costantemente nuove minacce che mettono a rischio la sicurezza delle organizzazioni. Una delle più recenti è la backdoor BugSleep, sviluppata dal gruppo filo iraniano MuddyWater.
“Di recente, le campagne MuddyWater hanno portato anche all’impiego di una nuova backdoor su misura, mai documentata in precedenza, che abbiamo denominato BugSleep e che viene utilizzata per colpire organizzazioni in Israele.”, spiega Check Point Research.
Origini e contesto
MuddyWater è attivo dal 2017 e ha intensificato le sue attività a partire dall’ottobre 2023, in concomitanza con la guerra tra Israele e Hamas. Le loro campagne di phishing, inviate da account e-mail compromessi, hanno preso di mira una vasta gamma di settori, tra cui enti governativi, agenzie di viaggio e giornalisti.
Caratteristiche di BugSleep
BugSleep è un malware progettato per eseguire comandi e trasferire file tra la macchina compromessa e il server di comando e controllo C2. Questa backdoor è ancora in fase di sviluppo, con continui miglioramenti e correzioni di bug da parte degli attori delle minacce.
Il nome dato dai ricercatori a questa backdoor deriva dall’uso frequente dell’API Sleep.
“La logica principale di BugSleep è simile in tutte le versioni, iniziando con molte chiamate all’API Sleep per eludere i sandbox e poi carica le API di cui ha bisogno per funzionare correttamente“.
Metodi di distribuzione
Le campagne di MuddyWater utilizzano esche di phishing ben progettate (camuffate da inviti a webinar o corsi online) per distribuire BugSleep tramite file archivio contenenti payload dannosi ospitati sulla piattaforma di condivisione Egnyte.
“Nel complesso, da febbraio 2024 abbiamo identificato oltre 50 e-mail di spear phishing rivolte a più di 10 settori che sono state inviate a centinaia di destinatari.“, spiegano i ricercatori, “In ciascuna di queste campagne, gli attori hanno utilizzato un’esca su misura che è stata inviata a decine di obiettivi nello stesso settore.“
Conclusione
La scoperta di BugSleep rappresenta un’evoluzione significativa nelle Tecniche, Tattiche e Procedure (TTP) di MuddyWater. Le organizzazioni devono rimanere vigili e adottare misure di sicurezza adeguate per proteggersi da queste minacce in continua evoluzione.