Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Επίθεση ψευδούς σημαίας ransomware MuddyWater

Επίθεση ψευδούς σημαίας ransomware MuddyWater

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Η κρατικά χρηματοδοτούμενη ιρανική ομάδα απειλών MuddyWater, η οποία παρακολουθείται επίσης με ψευδώνυμα όπως Mango Sandstorm, Seedworm και Static Kitten, έχει συνδεθεί με μια εξελιγμένη εκστρατεία ransomware που οι ερευνητές περιγράφουν ως επιχείρηση ψευδούς σημαίας. Παρόλο που η εισβολή αρχικά έμοιαζε με δραστηριότητα που σχετίζεται με μια συμβατική επιχείρηση Ransomware-as-a-Service (RaaS) χρησιμοποιώντας την επωνυμία ransomware Chaos, η βαθύτερη ανάλυση αποκάλυψε χαρακτηριστικά που συνάδουν με μια στοχευμένη κρατικά χρηματοδοτούμενη κυβερνοεπίθεση που μεταμφιέστηκε σε οικονομικά κίνητρα εκβιασμού.

Η επιχείρηση, η οποία εντοπίστηκε στις αρχές του 2026, βασιζόταν σε μεγάλο βαθμό στην κοινωνική μηχανική μέσω του Microsoft Teams. Οι επιτιθέμενοι διεξήγαγαν εξαιρετικά διαδραστικές συνεδρίες αλληλεπίδρασης με τα θύματα, αξιοποιώντας τη λειτουργικότητα κοινής χρήσης οθόνης για να συλλέξουν διαπιστευτήρια και να χειραγωγήσουν διαδικασίες ελέγχου ταυτότητας πολλαπλών παραγόντων. Αφού απέκτησαν πρόσβαση, οι απειλητικοί παράγοντες εγκατέλειψαν τις παραδοσιακές τακτικές ransomware, όπως η κρυπτογράφηση αρχείων μεγάλης κλίμακας, και επικεντρώθηκαν στην κλοπή δεδομένων, την αόρατη διατήρηση και τη μακροπρόθεσμη πρόσβαση στο δίκτυο μέσω βοηθητικών προγραμμάτων απομακρυσμένης διαχείρισης.

Εμπορικά μέσα κυβερνοεγκλήματος που χρησιμοποιούνται για την απόκρυψη κρατικών επιχειρήσεων

Οι ερευνητές πιστεύουν ότι η εκστρατεία αντικατοπτρίζει μια σκόπιμη προσπάθεια της MuddyWater να συγκαλύψει την απόδοση, υιοθετώντας εργαλεία και τεχνικές που συνήθως συνδέονται με τα οικοσυστήματα του κυβερνοεγκλήματος. Η ομάδα έχει ενσωματώσει ολοένα και περισσότερο στις δραστηριότητές της εμπορικά διαθέσιμο υπόγειο κακόβουλο λογισμικό και πλαίσια απομακρυσμένης πρόσβασης, συμπεριλαμβανομένων εργαλείων όπως το CastleRAT και το Tsundere.

Αυτή η τακτική ευθυγραμμίζεται με προηγούμενες εκστρατείες MuddyWater που συνδύαζαν την κατασκοπεία και την καταστροφική δραστηριότητα με επιχειρήσεις τύπου ransomware. Το 2020, η ομάδα στόχευσε μεγάλους ισραηλινούς οργανισμούς χρησιμοποιώντας το πρόγραμμα φόρτωσης PowGoop για να αναπτύξει μια καταστροφική παραλλαγή του ransomware Thanos. Το 2023, η Microsoft συνέδεσε την ομάδα με το DEV-1084, έναν δράστη που σχετίζεται με το πρόσωπο του DarkBit, κατά τη διάρκεια επιθέσεων που μεταμφιέστηκαν σε περιστατικά ransomware. Μέχρι τα τέλη του 2025, υπήρχαν επίσης υποψίες ότι οι χειριστές που συνδέονται με το Ιράν χρησιμοποίησαν το ransomware Qilin εναντίον ενός ισραηλινού κυβερνητικού νοσοκομείου.

Οι ερευνητές ασφαλείας κατέληξαν στο συμπέρασμα ότι η τελευταία εκστρατεία πιθανότατα αφορούσε συνδεδεμένες με το Ιράν επιχειρήσεις που λειτουργούσαν μέσω καθιερωμένων υποδομών κυβερνοεγκλήματος, επιδιώκοντας παράλληλα ευρύτερους γεωπολιτικούς στόχους. Η χρήση του Qilin και η συμμετοχή σε οικοσυστήματα συνεργατών ransomware πιθανότατα παρείχε επιχειρησιακή κάλυψη, εύλογη δυνατότητα άρνησης και πρόσβαση σε ώριμες δυνατότητες επίθεσης, ενώ παράλληλα βοηθούσε τους επιτιθέμενους να αποφύγουν την αυξημένη ισραηλινή αμυντική παρακολούθηση.

Chaos RaaS: Ένα αυξανόμενο οικοσύστημα εκβιασμού

Το Chaos εμφανίστηκε στις αρχές του 2025 ως μια επιχείρηση Ransomware-as-a-Service, γνωστή για τις επιθετικές τακτικές διπλού εκβιασμού. Η ομάδα προώθησε το πρόγραμμα συνεργατών της σε υπόγεια φόρουμ για το κυβερνοέγκλημα, όπως το RAMP και το RehubCom, και επέκτεινε γρήγορα την επιχειρησιακή της εμβέλεια.

Οι καμπάνιες χάους συνδυάζουν συνήθως επιθέσεις χάους μέσω email flooding, voice phishing και πλαστοπροσωπίας του Microsoft Teams, στις οποίες οι απειλητικοί παράγοντες παρουσιάζονται ως προσωπικό υποστήριξης IT. Τα θύματα χειραγωγούνται ώστε να εγκαταστήσουν εφαρμογές απομακρυσμένης πρόσβασης όπως το Microsoft Quick Assist, επιτρέποντας στους εισβολείς να δημιουργήσουν ερείσματα σε εταιρικά περιβάλλοντα πριν κλιμακώσουν τα προνόμιά τους, κινηθούν πλευρικά και αναπτύξουν φορτία ransomware.

Η ομάδα έχει επίσης επιδείξει ολοένα και πιο επιθετικά μοντέλα εκβιασμού:

  • Διπλός εκβιασμός μέσω κλοπής δεδομένων και απαιτήσεων λύτρων
  • Τριπλός εκβιασμός που περιλαμβάνει απειλές για κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS)
  • Τετραπλές τακτικές εκβιασμού που περιλαμβάνουν απειλές επικοινωνίας με πελάτες, συνεργάτες ή ανταγωνιστές για την εντατικοποίηση της πίεσης στα θύματα

Μέχρι τον Μάρτιο του 2026, η Chaos είχε 36 θύματα στην πλατφόρμα διαρροών της, με τους περισσότερους οργανισμούς να βρίσκονται στις Ηνωμένες Πολιτείες. Οι τομείς των κατασκευών, της μεταποίησης και των επιχειρηματικών υπηρεσιών εμφανίστηκαν μεταξύ των κλάδων που δέχτηκαν τις περισσότερες στοχοποιήσεις.

Ανατομία της Εισβολής

Κατά τη διάρκεια της διερευνώμενης εισβολής, οι εισβολείς ξεκίνησαν εξωτερικές συνομιλίες του Microsoft Teams με υπαλλήλους για να κερδίσουν εμπιστοσύνη και να ενθαρρύνουν τις συνεδρίες κοινής χρήσης οθόνης. Οι παραβιασμένοι λογαριασμοί χρηστών στη συνέχεια αξιοποιήθηκαν για αναγνώριση, διατήρηση της ταυτότητας, πλευρική κίνηση και εξαγωγή δεδομένων.

Ενώ ήταν συνδεδεμένοι με τα συστήματα των θυμάτων, οι επιτιθέμενοι εκτελούσαν εντολές αναγνώρισης, αποκτούσαν πρόσβαση σε αρχεία που σχετίζονταν με VPN και έδιναν οδηγίες στους χρήστες να εισάγουν χειροκίνητα τα διαπιστευτήρια σε τοπικά δημιουργημένα έγγραφα κειμένου. Σε αρκετές περιπτώσεις, το AnyDesk εγκαταστάθηκε για την ενίσχυση των δυνατοτήτων απομακρυσμένης πρόσβασης.

Οι απειλητικοί παράγοντες χρησιμοποίησαν επιπλέον το Πρωτόκολλο Απομακρυσμένης Επιφάνειας Εργασίας (RDP) για να ανακτήσουν ένα εκτελέσιμο αρχείο με το όνομα "ms_upd.exe" από την εξωτερική διεύθυνση διακομιστή 172.86.126.208 χρησιμοποιώντας το βοηθητικό πρόγραμμα curl. Μόλις εκκινήθηκε, το κακόβουλο λογισμικό ξεκίνησε μια αλυσίδα μόλυνσης πολλαπλών σταδίων που σχεδιάστηκε για να αναπτύξει πρόσθετα κακόβουλα στοιχεία και να δημιουργήσει μόνιμες επικοινωνίες εντολών και ελέγχου.

Οπλοστάσιο κακόβουλου λογισμικού πίσω από την εκστρατεία

Η αλυσίδα μόλυνσης ενσωμάτωνε πολλά ξεχωριστά στοιχεία κακόβουλου λογισμικού που συνεργάζονταν για να διατηρήσουν την ανθεκτικότητα και να εκτελέσουν απομακρυσμένες εντολές:

  • Το 'ms_upd.exe' (Stagecomp) συγκέντρωσε πληροφορίες συστήματος και επικοινώνησε με έναν διακομιστή εντολών και ελέγχου για να κατεβάσει δευτερεύοντα ωφέλιμα φορτία, όπως τα 'game.exe', 'WebView2Loader.dll' και 'visualwincomp.txt'.
  • Το 'game.exe' (Darkcomp) λειτουργούσε ως ένα προσαρμοσμένο trojan απομακρυσμένης πρόσβασης που μεταμφιέζεται σε μια νόμιμη εφαρμογή Microsoft WebView2 βασισμένη στο επίσημο έργο WebView2APISample.
  • Το 'WebView2Loader.dll' χρησίμευε ως μια νόμιμη εξάρτηση που απαιτείται για τη λειτουργικότητα του Microsoft Edge WebView2
  • Το 'visualwincomp.txt' περιείχε κρυπτογραφημένα δεδομένα διαμόρφωσης που χρησιμοποιούνταν από το RAT για τον εντοπισμό υποδομής διοίκησης και ελέγχου

Μόλις ενεργοποιηθεί, το trojan απομακρυσμένης πρόσβασης επικοινωνούσε συνεχώς με τον διακομιστή εντολών του κάθε 60 δευτερόλεπτα, επιτρέποντας στους χειριστές να εκτελούν σενάρια PowerShell, να εκτελούν εντολές συστήματος, να χειρίζονται αρχεία και να δημιουργούν διαδραστικές συνεδρίες γραμμής εντολών.

Στοιχεία που συνδέουν την επιχείρηση με το MuddyWater

Η απόδοση στο MuddyWater ενισχύθηκε μέσω της ανακάλυψης ενός πιστοποιητικού υπογραφής κώδικα που σχετίζεται με το «Donald Gay», το οποίο χρησιμοποιήθηκε για την υπογραφή του δείγματος κακόβουλου λογισμικού «ms_upd.exe». Το ίδιο πιστοποιητικό είχε προηγουμένως συνδεθεί με κακόβουλο λογισμικό MuddyWater, συμπεριλαμβανομένης μιας παραλλαγής του προγράμματος λήψης CastleLoader γνωστής ως Fakeset.

Οι ερευνητές σημείωσαν ότι η επιχείρηση κατέδειξε σημαντική σύγκλιση μεταξύ της κρατικά χρηματοδοτούμενης κατασκοπευτικής δραστηριότητας και των επιχειρησιακών μεθόδων του κυβερνοεγκλήματος. Η ενσωμάτωση της επωνυμίας ransomware, των διαπραγματεύσεων εκβιασμού και των εμπορικά διαθέσιμων πλαισίων κακόβουλου λογισμικού περιέπλεξε τις προσπάθειες απόδοσης ευθυνών και έστρεψε την αμυντική προσοχή προς δραστηριότητες άμεσης απόκρισης σε λύτρα αντί για μηχανισμούς μακροπρόθεσμης διατήρησης που δημιουργήθηκαν μέσω εργαλείων απομακρυσμένης πρόσβασης.

Γιατί η Επίθεση Ξεχώρισε

Μία από τις πιο ασυνήθιστες πτυχές της εκστρατείας ήταν η εμφανής απουσία εκτεταμένης κρυπτογράφησης αρχείων, παρά τη χρήση αντικειμένων ransomware του Chaos. Αυτή η απόκλιση από την τυπική συμπεριφορά του ransomware υποδηλώνει έντονα ότι το στοιχείο ransomware λειτούργησε κυρίως ως καμουφλάζ ή επιχειρησιακή παραπλάνηση και όχι ως ο κύριος στόχος της αποστολής.

Η εκστρατεία υπογραμμίζει επίσης μια αυξανόμενη τάση μεταξύ των ιρανών φορέων απειλής να ενσωματώνουν εργαλεία κυβερνοεγκλήματος σε κρατικές επιχειρήσεις. Αξιοποιώντας τις υπάρχουσες υπόγειες υποδομές και τα οικοσυστήματα κακόβουλου λογισμικού, ομάδες όπως η MuddyWater αποκτούν μεγαλύτερη επιχειρησιακή ευελιξία, μειώνουν το εσωτερικό κόστος ανάπτυξης και περιπλέκουν σημαντικά τις προσπάθειες απόδοσης τόσο για τους υπερασπιστές όσο και για τους αναλυτές πληροφοριών.

Τάσεις

Κακόβουλο λογισμικό SNOW

Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Ένα προηγουμένως μη καταγεγραμμένο σύμπλεγμα απειλών, που εντοπίστηκε ως UNC6692, έχει εντοπιστεί να αξιοποιεί προηγμένες τεχνικές κοινωνικής μηχανικής μέσω του Microsoft Teams για την ανάπτυξη...

Περισσότερες εμφανίσεις

Φόρτωση...