試行錯誤するMuddyWater

MuddyWaterは脅威アクターのグループです。
活動に特定の国家がなんらかの関係をしているとみられているグループです。
このようなグループはいろいろな地域で見られるのですが、そういったなかではMuddyWaterは比較的新しいグループとなっています。

これまでMuddyWaterは侵害された組織の電子メールアカウントから送信されるフィッシングキャンペーンを展開することが多くありました。
そしてその永続化にはAtera AgentやScreen Connectなどの正規のリモート管理ツール (RMM) を使うというスタイルの攻撃が多くみられました。
それとはスタイルの異なる攻撃が観測されはじめています。

• 入口
  攻撃の始まりはこれまで通りフィッシングメールです。
  ただしこれまでよりもメールの狙うテーマがより一般的なものへと変化してきています。
  これにより、より広い範囲の被害者に対応することができるものへとなってきていると考えられます。
  確認されているテーマは、ウェビナーやオンラインコースへの招待などです。
• 感染の流れ
  次の手順で感染します。
  メールを受け取って開く→メール本文のリンクをクリックする（リンクはPDF文書）→PDFに埋め込まれた機構でファイル共有サイトからZIPファイルを勝手にダウンロードされる→ZIPのなかに入っているマルウェアが動作を開始する、となっています。
• 悪用されたファイル共有サイト
  今回確認されているマルウェア配布に使用されたファイル共有サイトは正規のサービスとして広く利用されているものです。
  今回はそれはEgnyteでした。
  Egnyteのサービスはサブドメイン部分に利用組織を示す文字列を付加して利用されることが多く、今回の攻撃でもそのスタイルが選択されていました。
  フィッシングメールで使用される会社名と一致したサブドメインを使用することで、怪しさの減少を狙っています。
  よく練られた仕組みになっているため、一目見ただけで怪しいと判定することは容易ではなさそうです。
• BugSleep
  今回ZIPから出てきて活動してしまうマルウェアはBugSleepです。
  これは従来の攻撃においてRMMが利用されていた部分の代替として利用される機能を持った新しいマルウェアです。
  設置が完了したBugSleepは、感染環境のタスクスケジューラの機能を利用し、30分に１回の定期的な活動を開始します。
• BugSleepの機能
  これはRMMの代わりとして利用され始めたものなので、多様なリモートから利用することのできる機能を搭載しています。
  C2へのファイルの送付、C2からのファイルの入手、C2の指示するコマンドの実行、永続タスクの作成と削除、スリープ時間変更、などの機能を有します。

このBugSleepは短い期間に多くの亜種の活動が観測されています。
設定が異なるものがある、ということではなく、コードそのものに手が入っているものが多数見つかっています。
これはMaaS（Malware as a Service）で展開された結果ということではなく、マルウェアを作っているグループ自体が効果的な攻撃を成立させるためにいくつもの手法を試行錯誤で試しているということなのでしょうか。
マルウェアの進化の速度が早まってきているということを示す事例の一つなのかもしれません。

NEW BUGSLEEP BACKDOOR DEPLOYED IN RECENT MUDDYWATER CAMPAIGNS
https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/