MuddyViper Backdoor
Скорошна вълна от шпионска дейност се насочи към широк кръг от израелски организации в академичните среди, инженерните среди, местното самоуправление, производството, технологиите, транспорта и комуналните услуги. Операцията, приписвана на свързани с иранската държава лица, въведе неизвестна досега задна врата, наречена MuddyViper, сигнализирайки за нова ескалация в тактиките на групата. Една технологична фирма, базирана в Египет, също беше хваната в мерника, като кампанията продължи от края на септември 2024 г. до средата на март 2025 г.
Съдържание
Познат противник с разширяващи се възможности
Атаките са свързани с MuddyWater, известна още като Mango Sandstorm, Static Kitten или TA450, група, за която се смята, че действа под егидата на Министерството на разузнаването и сигурността на Иран. Активна поне от 2017 г., MuddyWater има дълга история на шпионаж и разрушителни действия, включително по-ранни кампании POWERSTATS и използването на рансъмуер PowGoop по време на операция Quicksand.
Според публикувани данни, групировката продължава да атакува израелски цели, обхващащи местните власти, въздушния транспорт, туризма, здравните услуги, телекомуникационните мрежи, ИТ доставчиците и малките и средни предприятия.
Тяхната развиваща се стратегия: от социално инженерство до използване на слабостите на VPN
Злоумишленикът обикновено разчита на фишинг имейли и злоупотреба с известни VPN уязвимости, за да получи достъп. В миналото тези прониквания включваха внедряването на легитимни инструменти за дистанционно администриране – отличителен белег на операциите на MuddyWater. От май 2024 г. обаче техните фишинг имейли започнаха да предоставят скрита задна врата, известна като BugSleep (наричана още MuddyRot), което показва промяна към по-персонализирани инструменти.
По-широкият арсенал на групата е обширен и включва Blackout, AnchorRat, CannonRat, Neshta и рамката Sad C2, която помага за разпространението на зареждащи програми като TreasureBox и BlackPearl RAT.
Фишингът остава първата стъпка
Последната вълна от атаки все още започва със злонамерени имейли, които съдържат PDF прикачени файлове. Тези PDF файлове насочват жертвите към изтегляния на широко използвани инструменти за отдалечен достъп, като Atera, Level, PDQ и SimpleHelp. След като се закрепи, нападателите преминават към внедряване на по-специализирани компоненти.
Представяме ви Fooder и MuddyViper
Тази кампания на видно място представя зареждаща програма на име Fooder, създадена за декриптиране и изпълнение на C/C++-базираната бекдор MuddyViper. Варианти на Fooder са наблюдавани и при разпространението на тунелиращи инструменти go-socks5 и инструмента с отворен код HackBrowserData за събиране на данни от браузъри от множество платформи (с изключение на Safari).
Самият MuddyViper предоставя широк контрол, позволявайки на операторите да събират системни данни, да изпълняват файлове и команди, да преместват данни в и извън системата, както и да крадат идентификационни данни за Windows и информация за браузъра. Той поддържа 20 вградени команди за поддържане на скрит достъп. Някои варианти на Fooder се маскират като класическата игра „Змия“ и разчитат на забавено изпълнение, за да заобиколят откриването, техника, забелязана за първи път през септември 2025 г.
Допълнителни инструменти, наблюдавани по време на операцията
Изследователите също така документираха внедряването на няколко поддържащи програми, предназначени за запазване на данни, кражба на идентификационни данни и събиране на данни:
VAXOne – Задна вратичка, маскирана като Veeam, AnyDesk, Xerox или програмата за актуализиране на OneDrive.
CE-Notes – Инструмент за кражба на данни от браузъра, предназначен да заобиколи криптирането на Chrome, свързано с приложенията, чрез кражба на ключа за криптиране на Local State.
Blub – крадец на AC/C++, който събира данни за вход от Chrome, Edge, Firefox и Opera.
LP-Notes – инструмент за събиране на AC/C++ идентификационни данни, който показва измамническа подкана за сигурност на Windows, за да подмами потребителите да въведат данните си за вход.
Сътрудничество с Лицей: Възниква оперативно припокриване
Разследването разкри, че дейността на MuddyWater се е пресичала с операциите на Lyceum (известна също като Hexane, Spirlin или Siamesekitten), подгрупа на OilRig (APT34), активна в регионален кибершпионаж поне от 2018 г.
По време на инциденти, идентифицирани в началото на 2025 г., MuddyWater вероятно е действала като първоначален брокер на достъп в израелска производствена организация, като е внедрила инструменти за отдалечен работен плот и персонализиран Mimikatz loader. Откраднатите идентификационни данни вероятно са били използвани от Lyceum за разширяване на достъпа и поемане на оперативен контрол.
Признак за нарастваща оперативна зрялост
Въвеждането на нови компоненти, по-специално Fooder loader и MuddyViper backdoor, подчертава забележителен напредък в техническата и оперативна сложност на MuddyWater. Групата очевидно инвестира в по-скрити механизми за запазване на данни, по-ефективна кражба на идентификационни данни и по-задълбочени разузнавателни възможности.
Кампанията подчертава продължаващата и разширяваща се заплаха от кибероператори, свързани с Иран. Тяхната комбинация от персонализиран зловреден софтуер, скрити програми за зареждане, легитимни инструменти за дистанционно администриране и сътрудничество между групи предполага, че организациите в региона трябва да останат в повишена бдителност и да засилят защитата си срещу все по-сложни стратегии за проникване.
