Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) Operation Olalampo angrebskampagne

Operation Olalampo angrebskampagne

Med Mezo i Advanced Persistent Threat (APT), Malware
Oversæt til:

Den iranske, statsallierede trusselsgruppe MuddyWater, også kendt som Earth Vetala, Mango Sandstorm og MUDDYCOAST, har lanceret en ny cyberkampagne kaldet Operation Olalampo. Operationen har primært rettet sig mod organisationer og enkeltpersoner i Mellemøsten og Nordafrika (MENA).

Kampagnen, der først blev opdaget den 26. januar 2026, introducerer flere nye malwarefamilier, samtidig med at den genbruger komponenter, der tidligere var forbundet med gruppen. Sikkerhedsforskere rapporterer, at aktiviteten afspejler en fortsættelse af MuddyWaters etablerede driftsmønstre, hvilket forstærker dets vedvarende tilstedeværelse i hele META-regionen (Mellemøsten, Tyrkiet og Afrika).

Infektionsvektorer og angrebskæder

Kampagnen følger en velkendt indtrængningsmetode, der er i overensstemmelse med tidligere MuddyWater-operationer. Indledende adgang starter typisk med spear-phishing-e-mails, der indeholder ondsindede Microsoft Office-vedhæftninger. Disse dokumenter indlejrer makrokode, der er designet til at afkode og udføre data på offerets system, hvilket i sidste ende giver angriberne fjernkontrol.

Der er observeret adskillige angrebsvariationer:

  • Et ondsindet Microsoft Excel-dokument beder ofrene om at aktivere makroer, hvilket udløser implementeringen af den Rust-baserede bagdør CHAR.
  • En relateret variant leverer GhostFetch-downloaderen, som efterfølgende installerer GhostBackDoor-implantatet.
  • En tredje infektionskæde bruger tematiske lokkemidler såsom flybilletter eller driftsrapporter i stedet for at udgive sig for at være et mellemøstligt energi- og marineserviceselskab til at distribuere HTTP_VIP-downloaderen. Denne variant installerer i sidste ende AnyDesk-fjernskrivebordsapplikationen for permanent adgang.

Derudover er gruppen blevet observeret i at udnytte nyligt afslørede sårbarheder i internetvendte servere for at få indledende adgang til målrettede miljøer.

Malware Arsenal: Brugerdefinerede værktøjer og modulære implantater

Operation Olalampo er baseret på et struktureret, flertrinnet malware-økosystem designet til rekognoscering, persistens og fjernstyring. De primære værktøjer, der er identificeret i denne kampagne, omfatter:

GhostFetch – En downloader i første fase, der profilerer kompromitterede systemer ved at validere musebevægelser og skærmopløsning, detektere fejlfindingsværktøjer, identificere virtuelle maskinartefakter og kontrollere for antivirussoftware. Den henter og udfører sekundære nyttelast direkte i hukommelsen.

GhostBackDoor – Et andet-trins implantat leveret af GhostFetch. Det muliggør interaktiv shell-adgang, fillæsning/-skrivning og kan genstarte GhostFetch.

HTTP_VIP – En indbygget downloader, der udfører systemrekognoscering og opretter forbindelse til det eksterne domæne "codefusiontech(dot)org" for godkendelse. Den implementerer AnyDesk fra en kommando-og-kontrol (C2) server. En nyere version forbedrer funktionaliteten med indsamling af offerdata, interaktiv shell-udførelse, filoverførsler, udklipsholderoptagelse og konfigurerbare beaconing-intervaller.

CHAR – En Rust-baseret bagdør, der styres af en Telegram-bot identificeret som 'Olalampo' (brugernavn: stager_51_bot). Den understøtter mappenavigation og udførelse af cmd.exe- eller PowerShell-kommandoer.

PowerShell-funktionaliteten, der er forbundet med CHAR, muliggør udførelse af en SOCKS5 reverse proxy eller en ekstra bagdør ved navn Kalim. Den muliggør også udfiltrering af browserdata og starter eksekverbare filer mærket 'sh.exe' og 'gshdoc_release_X64_GUI.exe'.

AI-assisteret udvikling og kodeoverlap

Teknisk analyse af CHARs kildekode afslørede indikatorer for udvikling assisteret af kunstig intelligens. Tilstedeværelsen af emojis i fejlretningsstrenge stemmer overens med tidligere fund offentliggjort af Google, som rapporterede, at MuddyWater har eksperimenteret med generative AI-værktøjer til at forbedre malwareudvikling, især til filoverførsel og fjernudførelsesfunktioner.

Yderligere analyse viser strukturelle og miljømæssige ligheder mellem CHAR og den Rust-baserede malware BlackBeard, også kendt som Archer RAT eller RUSTRIC, som gruppen tidligere har anvendt mod enheder i Mellemøsten. Disse overlapninger tyder på fælles udviklingsprocesser og iterativ forbedring af værktøjerne.

Udvidelse af kapaciteter og strategiske intentioner

MuddyWater er fortsat en vedvarende og udviklende trusselsaktør i META-regionen. Integrationen af AI-assisteret udvikling, fortsat forbedring af skræddersyet malware, udnyttelse af offentligt vendte sårbarheder og diversificeringen af C2-infrastrukturen demonstrerer tilsammen en langsigtet forpligtelse til operationel ekspansion.

Operation Olalampo understreger gruppens vedvarende fokus på MENA-baserede mål og fremhæver den stigende sofistikering af dens indtrængningskapaciteter. Organisationer, der opererer i regionen, bør opretholde øget årvågenhed, håndhæve makrorestriktioner, overvåge udgående kommando- og kontrolkommunikation (C2) og prioritere rettidig afhjælpning af sårbarheder for at mindske eksponeringen for dette udviklende trusselsbillede.

Trending

Mest sete

Indlæser...