Operatsioon Olalampo rünnakukampaania
Iraani riiklikult toetatud ohurühmitus MuddyWater, mida jälgitakse ka nimede Earth Vetala, Mango Sandstorm ja MUDDYCOAST all, on käivitanud uue küberkampaania nimega Operatsioon Olalampo. Operatsioon on suunatud peamiselt organisatsioonidele ja üksikisikutele kogu Lähis-Ida ja Põhja-Aafrika (MENA) piirkonnas.
Esmakordselt 26. jaanuaril 2026 tuvastatud kampaania tutvustab mitmeid uusi pahavara perekondi, taaskasutades samal ajal komponente, mis olid varem grupiga seostatud. Turvauurijate sõnul peegeldab see tegevus MuddyWateri väljakujunenud tegutsemismustrite jätkumist, tugevdades selle püsivat kohalolekut kogu META piirkonnas (Lähis-Ida, Türgi ja Aafrika).
Sisukord
Nakkusvektorid ja rünnakuahelad
Kampaania järgib tuttavat sissetungimise metoodikat, mis on kooskõlas varasemate MuddyWateri operatsioonidega. Esialgne juurdepääs algab tavaliselt andmepüügimeilidega, mis sisaldavad pahatahtlikke Microsoft Office'i manuseid. Need dokumendid sisaldavad makrokoodi, mis on loodud ohvri süsteemis kasulike koormuste dekodeerimiseks ja käivitamiseks, andes ründajatele lõpuks kaugjuhtimise.
Rünnaku puhul on täheldatud mitmeid variatsioone:
- Pahatahtlik Microsoft Exceli dokument palub ohvritel lubada makrosid, käivitades Rustil põhineva tagaukse CHAR.
- Seotud variant pakub GhostFetchi allalaadijat, mis seejärel installib GhostBackDoori implantaadi.
- Kolmas nakatumisahel kasutab HTTP_VIP allalaadija levitamiseks temaatilisi peibutisi, näiteks lennupileteid või tegevusaruandeid, selle asemel, et teeselda Lähis-Ida energia- ja merendusteenuste ettevõtet. See variant installib lõpuks püsiva juurdepääsu tagamiseks AnyDeski kaugtöölaua rakenduse.
Lisaks on täheldatud, et rühmitus kasutab ära internetipõhiste serverite äsja avalikustatud haavatavusi, et saada esialgne juurdepääs sihtkeskkondadele.
Pahavara arsenal: kohandatud tööriistad ja modulaarsed implantaadid
Operatsioon Olalampo tugineb struktureeritud mitmeastmelisele pahavara ökosüsteemile, mis on loodud luureks, püsivuseks ja kaugjuhtimiseks. Selle kampaania peamised tuvastatud tööriistad on järgmised:
GhostFetch – esimese etapi allalaadija, mis profileerib ohustatud süsteeme, valideerides hiire liikumist ja ekraani eraldusvõimet, tuvastades veaotsingu tööriistu, tuvastades virtuaalmasina artefakte ja kontrollides viirusetõrjetarkvara olemasolu. See hangib ja käivitab teiseseid kasulikke koormusi otse mälust.
GhostBackDoor – GhostFetchi teise etapi implantaat. See võimaldab interaktiivset juurdepääsu shellile, failide lugemise/kirjutamise toiminguid ja GhostFetchi taaskäivitamist.
HTTP_VIP – natiivne allalaadija, mis teostab süsteemi luuret ja loob autentimiseks ühenduse välise domeeniga "codefusiontech(dot)org". See juurutab AnyDeski käsu- ja juhtimisserverist (C2). Uuem versioon täiustab funktsionaalsust ohvriandmete kogumise, interaktiivse kesta käivitamise, failiedastuse, lõikelauale jäädvustamise ja konfigureeritavate märguannete intervallidega.
CHAR – Rustil põhinev tagauks, mida juhitakse Telegrami boti 'Olalampo' (kasutajanimi: stager_51_bot) kaudu. See toetab kataloogides navigeerimist ja cmd.exe või PowerShelli käskude täitmist.
CHAR-iga seotud PowerShelli funktsionaalsus võimaldab käivitada SOCKS5 pöördproksi või täiendava tagaukse nimega Kalim. See hõlbustab ka brauseriandmete väljavoolu ja käivitab käivitatavaid faile nimega „sh.exe” ja „gshdoc_release_X64_GUI.exe”.
Tehisintellekti abil arendatud arendus ja koodi kattumine
CHAR-i lähtekoodi tehniline analüüs näitas tehisintellekti abil arendatud tarkvara märke. Emotikonide olemasolu silumisstringides on kooskõlas Google'i varasemate leidudega, mille kohaselt MuddyWater on katsetanud genereerivate tehisintellekti tööriistadega pahavara arendamise täiustamiseks, eriti failiedastuse ja kaugkäivitamise võimaluste osas.
Edasine analüüs näitab CHARi ja Rustil põhineva pahavara BlackBeardi (tuntud ka kui Archer RAT või RUSTRIC) struktuurilisi ja keskkonnaalaseid sarnasusi, mida rühmitus varem Lähis-Ida üksuste vastu kasutas. Need kattuvused viitavad ühistele arendusprotsessidele ja tööriistade iteratiivsele täiustamisele.
Võimekuste ja strateegilise kavatsuse laiendamine
MuddyWater on META piirkonnas püsiv ja pidevalt arenev ohutegija. Tehisintellektil põhineva arenduse integreerimine, kohandatud pahavara pidev täiustamine, avalikkuse ees olevate haavatavuste ärakasutamine ja C2-infrastruktuuri mitmekesistamine näitavad kokkuvõttes pikaajalist pühendumust tegevuse laiendamisele.
Operatsioon Olalampo rõhutab rühmituse jätkuvat keskendumist Lähis-Ida ja Põhja-Aafrika piirkonnas asuvatele sihtmärkidele ning toob esile selle sissetungimisvõimekuse üha keerukamaks muutumist. Piirkonnas tegutsevad organisatsioonid peaksid säilitama kõrgendatud valvsuse, jõustama makromajanduslikke piiranguid, jälgima väljaminevat juhtimis- ja kontrollsuhtlust ning seadma prioriteediks õigeaegse haavatavuste kõrvaldamise, et leevendada kokkupuudet selle muutuva ohumaastikuga.
