MuddyViper Backdoor
Ένα πρόσφατο κύμα κατασκοπευτικής δραστηριότητας έχει εστιάσει σε ένα ευρύ φάσμα ισραηλινών οργανισμών σε ακαδημαϊκούς χώρους, μηχανικούς, τοπική αυτοδιοίκηση, μεταποίηση, τεχνολογία, μεταφορές και επιχειρήσεις κοινής ωφέλειας. Η επιχείρηση, που αποδίδεται σε ιρανούς κρατικούς παράγοντες, εισήγαγε μια προηγουμένως άγνωστη «κερκόπορτα» με την ονομασία MuddyViper, σηματοδοτώντας μια νέα κλιμάκωση στις τακτικές της ομάδας. Μια εταιρεία τεχνολογίας με έδρα την Αίγυπτο βρέθηκε επίσης στο στόχαστρο, με την εκστρατεία να διεξάγεται από τα τέλη Σεπτεμβρίου 2024 έως τα μέσα Μαρτίου 2025.
Πίνακας περιεχομένων
Ένας Γνώριμος Αντίπαλος με Αυξανόμενες Δυνατότητες
Οι επιθέσεις έχουν συνδεθεί με την MuddyWater, γνωστή και ως Mango Sandstorm, Static Kitten ή TA450, μια ομάδα που αξιολογείται ότι λειτουργεί υπό το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν. Η MuddyWater, η οποία δραστηριοποιείται τουλάχιστον από το 2017, έχει μακρύ ιστορικό κατασκοπείας και καταστροφικών ενεργειών, συμπεριλαμβανομένων προηγούμενων εκστρατειών POWERSTATS και της χρήσης ransomware PowGoop κατά τη διάρκεια της επιχείρησης Quicksand.
Σύμφωνα με δημοσιευμένα ευρήματα, η ομάδα συνεχίζει να πλήττει ισραηλινούς στόχους που εκτείνονται σε τοπικές αρχές, αεροπορικές μεταφορές, τουρισμό, υπηρεσίες υγείας, τηλεπικοινωνιακά δίκτυα, παρόχους πληροφορικής και ΜΜΕ.
Το εξελισσόμενο εγχειρίδιό τους: Από την κοινωνική μηχανική έως την εκμετάλλευση των αδυναμιών των VPN
Ο απειλητικός παράγοντας συνήθως βασίζεται σε email spear-phishing και στην κατάχρηση γνωστών ευπαθειών VPN για να αποκτήσει πρόσβαση. Ιστορικά, αυτές οι εισβολές περιελάμβαναν την ανάπτυξη νόμιμων εργαλείων απομακρυσμένης διαχείρισης — ένα σήμα κατατεθέν των δραστηριοτήτων της MuddyWater. Από τον Μάιο του 2024, ωστόσο, τα email phishing έχουν αρχίσει να παρέχουν μια κρυφή κερκόπορτα γνωστή ως BugSleep (που ονομάζεται επίσης MuddyRot), δείχνοντας μια στροφή προς πιο προσαρμοσμένα εργαλεία.
Το ευρύτερο οπλοστάσιο της ομάδας είναι εκτενές και περιλαμβάνει τα Blackout, AnchorRat, CannonRat, Neshta και το πλαίσιο Sad C2, το οποίο βοηθά στην διάδοση loaders όπως το TreasureBox και το BlackPearl RAT.
Το ηλεκτρονικό ψάρεμα (phishing) παραμένει το πρώτο βήμα
Το τελευταίο κύμα επιθέσεων εξακολουθεί να ξεκινά με κακόβουλα email που περιέχουν συνημμένα PDF. Αυτά τα PDF κατευθύνουν τα θύματα προς λήψεις για ευρέως χρησιμοποιούμενα εργαλεία απομακρυσμένης πρόσβασης, όπως τα Atera, Level, PDQ και SimpleHelp. Μόλις αποκτήσουν μια θέση, οι εισβολείς προχωρούν στην ανάπτυξη πιο εξειδικευμένων στοιχείων.
Παρουσιάζουμε τους Fooder και MuddyViper
Αυτή η καμπάνια περιλαμβάνει σε περίοπτη θέση ένα πρόγραμμα φόρτωσης με το όνομα Fooder, το οποίο έχει σχεδιαστεί για να αποκρυπτογραφεί και να εκτελεί το backdoor MuddyViper που βασίζεται σε C/C++. Παραλλαγές του Fooder έχουν επίσης παρατηρηθεί να διανέμουν βοηθητικά προγράμματα tunneling go-socks5 και το εργαλείο ανοιχτού κώδικα HackBrowserData για τη συλλογή δεδομένων προγράμματος περιήγησης από πολλές πλατφόρμες (με εξαίρεση το Safari).
Το ίδιο το MuddyViper παρέχει εκτεταμένο έλεγχο, επιτρέποντας στους χειριστές να συλλέγουν λεπτομέρειες συστήματος, να εκτελούν αρχεία και εντολές, να μετακινούν δεδομένα μέσα και έξω και να κλέβουν διαπιστευτήρια των Windows και πληροφορίες προγράμματος περιήγησης. Υποστηρίζει 20 ενσωματωμένες εντολές για τη διατήρηση κρυφής πρόσβασης. Ορισμένες παραλλαγές του Fooder μεταμφιέζονται ως το κλασικό παιχνίδι Snake και βασίζονται στην καθυστερημένη εκτέλεση για να παρακάμψουν την ανίχνευση, μια τεχνική που αναφέρθηκε για πρώτη φορά τον Σεπτέμβριο του 2025.
Πρόσθετα εργαλεία που παρατηρήθηκαν κατά τη λειτουργία
Οι ερευνητές τεκμηρίωσαν επίσης την ανάπτυξη αρκετών βοηθητικών προγραμμάτων υποστηρικτικών εφαρμογών που έχουν σχεδιαστεί για διατήρηση δεδομένων, κλοπή διαπιστευτηρίων και συλλογή δεδομένων:
VAXOne – Μια κερκόπορτα που μεταμφιέζεται σε Veeam, AnyDesk, Xerox ή το πρόγραμμα ενημέρωσης του OneDrive.
CE-Notes – Ένα εργαλείο κλοπής δεδομένων προγράμματος περιήγησης που έχει σχεδιαστεί για να παρακάμπτει την κρυπτογράφηση εφαρμογών του Chrome κλέβοντας το κλειδί κρυπτογράφησης τοπικής κατάστασης.
Blub – Κλέφτης AC/C++ που συλλέγει δεδομένα σύνδεσης από Chrome, Edge, Firefox και Opera.
LP-Notes – Εργαλείο συλλογής διαπιστευτηρίων AC/C++ που εμφανίζει μια δόλια προτροπή στην Ασφάλεια των Windows για να ξεγελάσει τους χρήστες ώστε να εισαγάγουν τα στοιχεία σύνδεσής τους.
Συνεργασία με το Λύκειο: Αναδύεται μια επιχειρησιακή επικάλυψη
Η έρευνα αποκάλυψε ότι η δραστηριότητα της MuddyWater διασταυρωνόταν με τις δραστηριότητες της Lyceum (γνωστής και ως Hexane, Spirlin ή Siamesekitten), μιας υποομάδας της OilRig (APT34) που δραστηριοποιείται στην περιφερειακή κυβερνοκατασκοπεία τουλάχιστον από το 2018.
Κατά τη διάρκεια περιστατικών που εντοπίστηκαν στις αρχές του 2025, η MuddyWater πιθανότατα ενήργησε ως αρχικός μεσίτης πρόσβασης εντός ενός ισραηλινού κατασκευαστικού οργανισμού, αναπτύσσοντας εργαλεία απομακρυσμένης επιφάνειας εργασίας και ένα προσαρμοσμένο πρόγραμμα φόρτωσης Mimikatz. Τα κλεμμένα διαπιστευτήρια πιθανότατα αξιοποιήθηκαν στη συνέχεια από την Lyceum για να επεκτείνει την πρόσβαση και να αναλάβει τον επιχειρησιακό έλεγχο.
Ένα σημάδι αυξανόμενης λειτουργικής ωριμότητας
Η εισαγωγή νέων εξαρτημάτων, ιδίως του φορτωτή Fooder και του backdoor MuddyViper, υπογραμμίζει μια αξιοσημείωτη πρόοδο στην τεχνική και επιχειρησιακή πολυπλοκότητα του MuddyWater. Η ομάδα επενδύει σαφώς σε πιο αθόρυβους μηχανισμούς διατήρησης, πιο αποτελεσματική κλοπή διαπιστευτηρίων και βαθύτερες δυνατότητες αναγνώρισης.
Η εκστρατεία υπογραμμίζει μια συνεχιζόμενη και αυξανόμενη απειλή από κυβερνοχειριστές που συνδέονται με το Ιράν. Ο συνδυασμός προσαρμοσμένου κακόβουλου λογισμικού, κρυφών loaders, νόμιμων εργαλείων απομακρυσμένης διαχείρισης και συνεργασίας μεταξύ ομάδων υποδηλώνει ότι οι οργανισμοί στην περιοχή πρέπει να παραμείνουν σε αυξημένη εγρήγορση και να ενισχύσουν τις άμυνες ενάντια σε ολοένα και πιο πολύπλοκες στρατηγικές εισβολής.
