Иранские хакеры используют новый вирус BugSleep в кибератаках на Ближнем Востоке

Иранская группа кибершпионажа MuddyWater, известная также как Boggy Serpens и Mango Sandstorm, начала использовать новый тип вредоносного ПО, получившего название BugSleep, в рамках своих недавних атак. Об этом сообщили специалисты по кибербезопасности из компаний Check Point и Sekoia. Новая кампания отличается от предыдущих: вместо использования законных программ для удалённого мониторинга и управления, таких как Atera, хакеры применяют специально разработанный ими вирус.

Отмечается, что MuddyWater (или TA450), являющаяся государственным спонсором из Ирана, длительное время использует методы кибератак, направленные на получение доступа к корпоративным почтовым аккаунтам через фишинговые письма. Эти аккаунты затем используются для повышения доверия и эффективности последующих атак.

В апреле текущего года компания HarfangLab зафиксировала увеличение активности MuddyWater, которая с октября 2023 года атаковала предприятия в Израиле, Индии, Алжире, Турции, Италии и Египте. Целями атак становились компании из различных секторов, включая авиацию, ИТ, телекоммуникации, фармацевтику, автомобилестроение, логистику, путешествия и туризм.

Новая вредоносная программа BugSleep, разработанная на C для 64-битных систем, способна загружать и выгружать файлы с заражённого хоста, запускать обратную оболочку и устанавливать постоянный доступ. Связь с сервером управления осуществляется через TCP-сокет на порту 443.

По мнению экспертов, переход к использованию собственной вредоносной программы может быть вызван усиленным контролем за законными инструментами удалённого управления со стороны специалистов по безопасности.