Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara MuddyWater False Flag lunavara rünnak

MuddyWater False Flag lunavara rünnak

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)
Tõlgi:

Iraani riigi toetatud ohurühmitus MuddyWater, mida jälgitakse ka varjunimede Mango Sandstorm, Seedworm ja Static Kitten all, on seostatud keeruka lunavarakampaaniaga, mida uurijad kirjeldavad valelipuoperatsioonina. Kuigi sissetung meenutas algselt tegevust, mis on seotud tavapärase lunavarateenusena (RaaS) operatsiooniga, mis kasutas lunavarabrändi Chaos, näitas põhjalikum analüüs tunnuseid, mis olid kooskõlas sihipärase riiklikult toetatud küberrünnakuga, mis oli maskeeritud rahaliselt motiveeritud väljapressimiseks.

2026. aasta alguses tuvastatud operatsioon tugines suuresti sotsiaalsele manipuleerimisele Microsoft Teamsi kaudu. Ründajad viisid ohvritega läbi interaktiivseid suhtlusseansse, kasutades ekraanijagamise funktsiooni volituste kogumiseks ja mitmefaktorilise autentimise protsesside manipuleerimiseks. Pärast juurdepääsu saamist loobusid ründajad traditsioonilistest lunavara taktikatest, nagu ulatuslik failide krüptimine, ja keskendusid selle asemel andmete vargusele, varjatud andmetele ja pikaajalisele võrgule juurdepääsule kaughaldusutiliitide kaudu.

Küberkuritegevuse kaubitsemine, mida kasutatakse riigioperatsioonide varjamiseks

Teadlased usuvad, et kampaania peegeldab MuddyWateri teadlikku püüdlust varjata omistamist, võttes kasutusele tööriistu ja tehnikaid, mida tavaliselt seostatakse küberkuritegevuse ökosüsteemidega. Grupp on oma tegevusse üha enam integreerinud kaubanduslikult kättesaadavat maa-alust pahavara ja kaugjuurdepääsu raamistikke, sealhulgas selliseid tööriistu nagu CastleRAT ja Tsundere.

See taktika on kooskõlas varasemate MuddyWateri kampaaniatega, mis ühendasid spionaaži ja hävitava tegevuse lunavaralaadsete operatsioonidega. 2020. aastal sihtis rühmitus Iisraeli suuri organisatsioone, kasutades PowGoopi laadurit, et juurutada Thanose lunavara hävitavat varianti. 2023. aastal seostas Microsoft rühmituse lunavaraintsidentidentidena maskeeritud rünnakute ajal DarkBiti tegelasega seostatud DEV-1084-ga. 2025. aasta lõpuks kahtlustati Iraaniga seotud operaatoreid ka Qilini lunavara kasutamises Iisraeli valitsushaigla vastu.

Turvaeksperdid jõudsid järeldusele, et viimane kampaania hõlmas tõenäoliselt Iraaniga seotud operaatoreid, kes tegutsesid väljakujunenud küberkuritegevuse infrastruktuuride kaudu, taotledes samal ajal laiemaid geopoliitilisi eesmärke. Qilini kasutamine ja lunavaraga seotud ökosüsteemides osalemine pakkus tõenäoliselt operatiivset katet, usutavat eitamist ja juurdepääsu küpsetele rünnakuvõimalustele, aidates samal ajal ründajatel vältida Iisraeli kõrgendatud kaitseseiret.

Chaos RaaS: kasvav väljapressimise ökosüsteem

Chaos tekkis 2025. aasta alguses lunavarateenusena tegutseva operatsioonina, mis oli tuntud agressiivsete topeltväljapressimistaktikate poolest. Grupp reklaamis oma partnerprogrammi küberkuritegevuse foorumites nagu RAMP ja RehubCom ning laiendas kiiresti oma tegevusala.

Kaosekampaaniad ühendavad tavaliselt e-posti üleujutuse, häälega andmepüügi ja Microsoft Teamsi isikuandmete rünnakud, kus ründajad esinevad IT-toetöötajatena. Ohvreid manipuleeritakse installima kaugjuurdepääsu rakendusi, näiteks Microsoft Quick Assist, mis võimaldab ründajatel enne õiguste eskaleerimist, horisontaalset liikumist ja lunavara levitamist ettevõtte keskkondades jalgu alla saada.

Samuti on rühmitus demonstreerinud üha agressiivsemaid väljapressimismudeleid:

  • Topeltväljapressimine andmevarguse ja lunaraha nõudmise kaudu
  • Kolmekordne väljapressimine, mis hõlmab hajutatud teenusetõkestamise (DDoS) rünnakute ähvardusi
  • Neljakordne väljapressimistaktika, mis hõlmab ähvardusi klientide, partnerite või konkurentidega ühenduse võtmisega, et ohvritele survet avaldada.

2026. aasta märtsiks oli Chaos oma lekkeplatvormil nõudnud 36 ohvrit, kellest enamik asus Ameerika Ühendriikides. Ehitus-, tootmis- ja äriteenuste sektor oli enim sihikule võetud tööstusharude seas.

Sissetungi anatoomia

Uuritud sissetungi käigus algatasid ründajad töötajatega väliseid Microsoft Teamsi vestlusi, et võita usaldust ja julgustada ekraanijagamisseansse. Seejärel kasutati ohustatud kasutajakontosid luureks, andmete kontrollimiseks, külgsuunaliseks liikumiseks ja andmete väljafiltreerimiseks.

Ohvri süsteemidega ühenduses olles rakendasid ründajad luurekäsklusi, pääsesid ligi VPN-iga seotud failidele ja käskisid kasutajatel käsitsi sisestada sisselogimisandmeid lokaalselt loodud tekstidokumentidesse. Mitmel juhul installiti kaugjuurdepääsu võimaluste tugevdamiseks AnyDesk.

Lisaks kasutasid pahavara utiliidi curl abil välise serveri aadressilt 172.86.126.208 kaugtöölaua protokolli (RDP), et hankida käivitatav fail nimega „ms_upd.exe”. Pärast käivitamist algatas pahavara mitmeastmelise nakatamisahela, mille eesmärk oli juurutada täiendavaid pahatahtlikke komponente ja luua püsiv käsklusside.

Kampaania taga olev pahavara arsenal

Nakatumise ahel hõlmas mitut erinevat pahavara komponenti, mis töötasid koos püsivuse säilitamiseks ja kaugkäskude täitmiseks:

  • 'ms_upd.exe' (Stagecomp) kogus süsteemiteavet ja võttis ühendust käsklusserveriga, et laadida alla teiseseid kasulikke faile, sh 'game.exe', 'WebView2Loader.dll' ja 'visualwincomp.txt'.
  • 'game.exe' (Darkcomp) toimis kohandatud kaugjuurdepääsu troojana, mis maskeerus legitiimseks Microsoft WebView2 rakenduseks, mis põhineb ametlikul WebView2APISample projektil.
  • „WebView2Loader.dll” toimis Microsoft Edge WebView2 funktsionaalsuse jaoks vajaliku õigustatud sõltuvusena
  • „visualwincomp.txt” sisaldas krüpteeritud konfiguratsiooniandmeid, mida RAT kasutas juhtimis- ja juhtimisinfrastruktuuri tuvastamiseks.

Kui kaugjuurdepääsu trooja oli aktiivne, suhtles see pidevalt iga 60 sekundi järel oma käsuserveriga, võimaldades operaatoritel käivitada PowerShelli skripte, käivitada süsteemikäsklusi, manipuleerida failidega ja käivitada interaktiivseid käsureaseansse.

Tõendid, mis seovad operatsiooni MuddyWateriga

Seostust MuddyWateriga tugevdas 'Donald Gay'ga seotud koodiallkirjastamise sertifikaadi avastamine, mida kasutati pahavara näidise 'ms_upd.exe' allkirjastamiseks. Sama sertifikaat oli varem seotud MuddyWateri pahavaraga, sealhulgas CastleLoaderi allalaadija variandiga, mida tuntakse nimega Fakeset.

Teadlased märkisid, et operatsioon näitas olulist lähenemist riiklikult toetatud spionaažitegevuse ja küberkurjategijate operatiivmeetodite vahel. Lunavara brändingu, väljapressimisläbirääkimiste ja kaubanduslikult kättesaadavate pahavara raamistike integreerimine muutis omistamispüüdlused keeruliseks ja suunas kaitsva tähelepanu pigem kohesele lunarahale reageerimisele kui kaugjuurdepääsu tööriistade abil loodud pikaajalistele püsivusmehhanismidele.

Miks rünnak silma paistis

Kampaania üks ebatavalisemaid aspekte oli laialdase failide krüptimise puudumine, hoolimata Chaose lunavara esemete kasutamisest. See kõrvalekalle lunavara tavapärasest käitumisest viitab tugevalt sellele, et lunavarakomponent toimis peamiselt kamuflaažina või operatiivse eksitamisena, mitte missiooni peamise eesmärgina.

Kampaania toob esile ka Iraani ohutegelaste seas kasvava trendi kaasata küberkuritegevuse tööriistu riigi juhitud operatsioonidesse. Kasutades ära olemasolevaid põrandaaluseid infrastruktuure ja pahavara ökosüsteeme, saavutavad sellised rühmitused nagu MuddyWater suurema operatiivse paindlikkuse, vähendavad sisemisi arenduskulusid ja raskendavad oluliselt nii kaitsjate kui ka luureanalüütikute jaoks omistamispüüdlusi.

Trendikas

Enim vaadatud

Laadimine...