Kelompok peretas MuddyWater yang didukung Iran telah beralih sebagian menggunakan implan malware baru yang dirancang khusus untuk mencuri berkas dan menjalankan perintah pada sistem yang disusupi.
Dijuluki BugSleep, pintu belakang baru ini masih aktif dikembangkan dan ditemukan oleh para analis di Check Point Research saat didistribusikan melalui umpan phishing yang dibuat dengan baik.
Kampanye ini menyebarkan malware melalui email phishing yang disamarkan sebagai undangan ke webinar atau kursus online. Email tersebut mengarahkan target ke arsip yang berisi muatan berbahaya yang dihosting di platform berbagi file aman Egnyte.
Beberapa versi yang ditemukan di alam liar juga dilengkapi dengan pemuat malware khusus yang dirancang untuk menyuntikkannya ke dalam proses aktif di beberapa aplikasi, termasuk Microsoft Edge, Google Chrome, AnyDesk, Microsoft OneDrive, PowerShell, dan Opera.
“Kami menemukan beberapa versi malware yang didistribusikan, dengan perbedaan antara setiap versi yang menunjukkan peningkatan dan perbaikan bug (dan terkadang menciptakan bug baru),” Check Point mengatakan“Pembaruan ini, yang terjadi dalam interval pendek antara sampel, menunjukkan pendekatan coba-coba.”
Dengan beralih ke BugSleep, MuddyWater telah beralih dari hanya menggunakan Alat Manajemen Jarak Jauh (RMM) yang sah seperti Atera Agent dan Screen Connect untuk mempertahankan akses ke jaringan korban.
Serangan yang menggunakan malware baru ini berfokus pada berbagai target di seluruh dunia, mulai dari organisasi pemerintah dan kotamadya hingga maskapai penerbangan dan outlet media, dengan menargetkan Israel dan beberapa di Turki, Arab Saudi, India, dan Portugal.
Terungkap sebagai peretas badan intelijen Iran
MuddyWater (juga dilacak sebagai Earth Vetala, MERCURY, Static Kitten, dan Seedworm) pertama kali terlihat pada tahun 2017Kelompok ini dikenal terutama menyasar entitas Timur Tengah (dengan fokus pada target Israel) dan terus meningkatkan persenjataannya.
Meskipun relatif baru dibandingkan dengan kelompok peretas yang didukung negara lainnya, kelompok ancaman Iran ini sangat aktif dan menargetkan banyak sektor industri, termasuk telekomunikasi, pemerintah (layanan TI), dan organisasi industri minyak.
Sejak kemunculannya, kelompok ini perlahan-lahan memperluas serangannya ke kampanye spionase siber terhadap pemerintah dan entitas pertahanan di Asia Tengah dan Barat Daya, serta organisasi-organisasi dari Amerika Utara, Eropa, dan Asia[[1Bahasa Indonesia: 2Bahasa Indonesia: 3[Bahasa Indonesia].
Pada bulan Januari 2022, Komando Siber AS (USCYBERCOM) secara resmi menghubungkan MuddyWater dengan Kementerian Intelijen dan Keamanan Iran (MOIS), badan intelijen pemerintah terkemuka di negara itu.
Satu bulan kemudian, badan keamanan siber dan penegakan hukum AS dan Inggris mengekspos malware MuddyWater tambahanbackdoor Python baru yang dijuluki Saringan Kecil dikerahkan untuk menjaga ketahanan dan menghindari deteksi pada jaringan yang terganggu.
