Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) Útočná kampaň operace Olalampo

Útočná kampaň operace Olalampo

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Malware
Přeložit do:

Íránská státní skupina kybernetických útoků MuddyWater, sledovaná také jako Earth Vetala, Mango Sandstorm a MUDDYCOAST, spustila novou kybernetickou kampaň s názvem Operace Olalampo. Operace se primárně zaměřila na organizace a jednotlivce v regionu Blízkého východu a severní Afriky (MENA).

Kampaň, která byla poprvé detekována 26. ledna 2026, zavádí několik nových rodin malwaru a zároveň znovu využívá komponenty dříve spojené s touto skupinou. Bezpečnostní experti uvádějí, že tato aktivita odráží pokračování zavedených operačních vzorců MuddyWater a posiluje její trvalou přítomnost v regionu META (Blízký východ, Turecko a Afrika).

Vektory infekce a řetězce útoků

Kampaň se řídí známou metodologií narušení bezpečnosti, která je shodná s dřívějšími operacemi MuddyWater. První přístup obvykle začíná phishingovými e-maily obsahujícími škodlivé přílohy Microsoft Office. Tyto dokumenty obsahují makro kód určený k dekódování a spouštění dat v systému oběti, což útočníkům v konečném důsledku poskytuje vzdálenou kontrolu.

Bylo pozorováno několik variant útoku:

  • Škodlivý dokument aplikace Microsoft Excel vyzve oběti k povolení maker, což spustí nasazení backdooru CHAR založeného na technologii Rust.
  • Související varianta nabízí stahovací program GhostFetch, který následně nainstaluje implantát GhostBackDoor.
  • Třetí infekční řetězec využívá k distribuci stahovacího programu HTTP_VIP tematické lákadla, jako jsou letenky nebo provozní zprávy, místo aby se vydával za blízkovýchodní energetickou a námořní společnost. Tato varianta nakonec nainstaluje aplikaci pro vzdálenou plochu AnyDesk pro trvalý přístup.

Kromě toho bylo pozorováno, že skupina zneužívá nově odhalené zranitelnosti v serverech s přístupem k internetu k získání počátečního přístupu k cílovým prostředím.

Arsenál malwaru: Zakázkové nástroje a modulární implantáty

Operace Olalampo se opírá o strukturovaný, vícestupňový ekosystém malwaru určený pro průzkum, perzistenci a vzdálené ovládání. Mezi hlavní nástroje identifikované v této kampani patří:

GhostFetch – Stahovací program první fáze, který profiluje napadené systémy ověřováním pohybu myši a rozlišení obrazovky, detekcí ladicích nástrojů, identifikací artefaktů virtuálních strojů a kontrolou antivirového softwaru. Načítá a spouští sekundární datové části přímo v paměti.

GhostBackDoor – Implantát druhé fáze poskytovaný službou GhostFetch. Umožňuje interaktivní přístup k shellu, operace čtení/zápisu souborů a může znovu spustit GhostFetch.

HTTP_VIP – Nativní program pro stahování, který provádí průzkum systému a připojuje se k externí doméně „codefusiontech(tečka)org“ pro ověření. Nasazuje AnyDesk ze serveru command-and-control (C2). Novější verze vylepšuje funkčnost o sběr dat o obětech, interaktivní spouštění shellu, přenos souborů, zachycení do schránky a konfigurovatelné intervaly beaconingu.

CHAR – Backdoor založený na platformě Rust ovládaný telegramovým botem identifikovaným jako „Olalampo“ (uživatelské jméno: stager_51_bot). Podporuje navigaci v adresářích a spouštění příkazů cmd.exe nebo PowerShellu.

Funkce PowerShellu spojená s CHAR umožňuje spuštění reverzní proxy SOCKS5 nebo dalšího backdooru s názvem Kalim. Také usnadňuje exfiltraci dat z prohlížeče a spouští spustitelné soubory s označením „sh.exe“ a „gshdoc_release_X64_GUI.exe“.

Vývoj s podporou umělé inteligence a překrývání kódu

Technická analýza zdrojového kódu CHAR odhalila známky vývoje s pomocí umělé inteligence. Přítomnost emoji v ladicích řetězcích je v souladu s předchozími zjištěními zveřejněnými společností Google, která uvedla, že MuddyWater experimentuje s generativními nástroji umělé inteligence pro vylepšení vývoje malwaru, zejména pro přenos souborů a možnosti vzdáleného spouštění.

Další analýza ukazuje strukturální a environmentální podobnosti mezi CHAR a malwarem BlackBeard založeným na technologii Rust, známým také jako Archer RAT nebo RUSTRIC, který skupina dříve nasadila proti subjektům z Blízkého východu. Tato překrývání naznačují sdílené vývojové kanály a iterativní zdokonalování nástrojů.

Rozšiřování schopností a strategického záměru

MuddyWater zůstává v regionu META vytrvalým a vyvíjejícím se aktérem hrozby. Integrace vývoje s podporou umělé inteligence, neustálé zdokonalování malwaru na míru, zneužívání veřejně dostupných zranitelností a diverzifikace infrastruktury C2 společně demonstrují dlouhodobý závazek k provozní expanzi.

Operace Olalampo podtrhuje trvalé zaměření skupiny na cíle v oblasti Blízkého východu a severní Afriky a zdůrazňuje rostoucí sofistikovanost jejích schopností v oblasti narušení bezpečnosti. Organizace působící v regionu by měly zachovat zvýšenou ostražitost, vynucovat makroomezení, monitorovat odchozí komunikaci v rámci systému velení a řízení (C2) a upřednostňovat včasnou nápravu zranitelností, aby se zmírnila expozice vůči této vyvíjející se hrozbě.

Trendy

Podvod s e-mailem o odměňování bankou Federal Equity...

Phishing, Spam
V dnešní době hrozeb je nezbytné zůstat ostražití při řešení neočekávaných e-mailů. Kyberzločinci se často vydávají za renomované instituce, aby získali důvěru a manipulovali příjemce, aby odhalili citlivé informace nebo poslali peníze. Jedním z takových příkladů je tzv. e-mail s žádostí o kompenzaci od Federal Equity Trust Bank. Tyto zprávy nejsou spojeny s žádnou legitimní společností,...

Nejvíce shlédnuto

Načítání...