MuddyViper-takaovi
Viimeaikainen vakoiluaalto on kohdistunut laajaan joukkoon israelilaisia organisaatioita akateemisen maailman, tekniikan, paikallishallinnon, valmistuksen, teknologian, liikenteen ja yleishyödyllisten palvelujen aloilla. Iranin valtion kanssa liittoutuneiden toimijoiden suorittama operaatio otti käyttöön aiemmin tuntemattoman MuddyViper-nimisen takaoven, joka viestii ryhmän taktiikan uudesta eskaloitumisesta. Myös yksi egyptiläinen teknologiayritys joutui tähtäimeen kampanjan kestäessä syyskuun 2024 lopusta maaliskuun 2025 puoliväliin.
Sisällysluettelo
Tuttu vastustaja, jolla on laajenevat ominaisuudet
Hyökkäykset on yhdistetty MuddyWateriin, joka tunnetaan myös nimillä Mango Sandstorm, Static Kitten tai TA450. Ryhmän arvioidaan toimivan Iranin tiedustelu- ja turvallisuusministeriön alaisuudessa. MuddyWaterilla, joka on toiminut aktiivisena ainakin vuodesta 2017, on pitkä vakoilu- ja tuhoisa historia, mukaan lukien aiemmat POWERSTATS-kampanjat ja PowGoop-kiristysohjelman käyttö operaatio Quicksandin aikana.
Julkaistujen havaintojen mukaan ryhmä jatkaa iskuja israelilaisiin kohteisiin, jotka kattavat paikallisviranomaiset, lentoliikenteen, matkailun, terveyspalvelut, televiestintäverkot, IT-palveluntarjoajat ja pk-yritykset.
Heidän kehittyvä käsikirjansa: Sosiaalisesta manipuloinnista VPN-heikkouksien hyödyntämiseen
Uhkatoimija luottaa tyypillisesti keihästietojenkalastelusähköposteihin ja tunnettujen VPN-haavoittuvuuksien väärinkäyttöön päästäkseen sisään. Historiallisesti nämä tunkeutumiset ovat sisältäneet laillisten etähallintatyökalujen käyttöönottoa – mikä on MuddyWaterin toiminnan tunnusmerkki. Toukokuusta 2024 lähtien heidän tietojenkalastelusähköpostinsa ovat kuitenkin alkaneet toimittaa piilotetun takaoven, joka tunnetaan nimellä BugSleep (tunnetaan myös nimellä MuddyRot), mikä osoittaa siirtymistä kohti räätälöidympiä työkaluja.
Ryhmän laajempi arsenaali on laaja ja sisältää Blackoutin, AnchorRatin, CannonRatin, Neshtan ja Sad C2 -kehyksen, joka auttaa levittämään lataajia, kuten TreasureBoxia ja BlackPearl RATia.
Tietojenkalastelu on edelleen ensimmäinen askel
Uusin hyökkäysaalto alkaa edelleen haitallisilla sähköposteilla, jotka sisältävät PDF-liitteitä. Nämä PDF-tiedostot ohjaavat uhrit laajalti käytettyjen etätyökalujen, kuten Ateran, Levelin, PDQ:n ja SimpleHelpin, ladattaviin tiedostoihin. Kun jalansijaa on saatu, hyökkääjät siirtyvät ottamaan käyttöön erikoistuneempia komponentteja.
Esittelyssä Fooder ja MuddyViper
Tässä kampanjassa on näkyvästi mukana Fooder-niminen lataaja, joka on rakennettu purkamaan C/C++-pohjaisen MuddyViper-takaportin salaus ja suorittamaan se. Fooderin varianttien on myös nähty levittävän go-socks5-tunnelointiapuohjelmia ja avoimen lähdekoodin HackBrowserData-työkalua selaintietojen keräämiseksi useilta alustoilta (Safaria lukuun ottamatta).
MuddyViper itsessään tarjoaa laajan hallinnan, jonka avulla käyttäjät voivat kerätä järjestelmätietoja, suorittaa tiedostoja ja komentoja, siirtää tietoja sisään ja ulos sekä varastaa Windows-tunnistetietoja ja selaintietoja. Se tukee 20 sisäänrakennettua komentoa piilotetun pääsyn ylläpitämiseksi. Jotkut Fooder-variantit naamioituvat klassiseksi Snake-peliksi ja käyttävät viivästettyä suoritusta sivuunastumisen havaitsemiseen, tekniikka, joka havaittiin ensimmäisen kerran syyskuussa 2025.
Lisätyökalut, joita käytetään toiminnassa
Tutkijat dokumentoivat myös useiden tukiohjelmien käyttöönoton, jotka on suunniteltu pysyvyyden, tunnistetietojen varastamisen ja tiedonkeruun estämiseksi:
VAXOne – Takaovi, joka naamioituu Veeamiksi, AnyDeskiksi, Xeroxiksi tai OneDrive-päivitysohjelmaksi.
CE-huomautukset – Selaintietojen varkaustyökalu, joka on suunniteltu ohittamaan Chromen sovelluskohtaisen salauksen varastamalla paikallisen valtion salausavaimen.
Blub – AC/C++-varasohjelma, joka kerää kirjautumistietoja Chromesta, Edgestä, Firefoxista ja Operasta.
LP-Notes – AC/C++-tunnistetietojen keruutyökalu, joka näyttää vilpillisen Windowsin suojauskehotteen huijatakseen käyttäjiä antamaan kirjautumistietonsa.
Yhteistyö Lyceumin kanssa: Toiminnallinen päällekkäisyys ilmenee
Tutkinnassa paljastui, että MuddyWaterin toiminta liittyi Lyceumin (tunnetaan myös nimillä Hexane, Spirlin tai Siamesekitten) toimintaan. Lyceum on OilRigin (APT34) alaryhmä, joka on ollut aktiivinen alueellisessa kybervakoilussa ainakin vuodesta 2018 lähtien.
Vuoden 2025 alussa tunnistettujen tapausten aikana MuddyWater toimi todennäköisesti israelilaisen valmistusorganisaation sisäisenä pääsynvälittäjänä ottamalla käyttöön etätyöpöytätyökaluja ja räätälöityä Mimikatz-lataajaa. Lyceum todennäköisesti hyödynsi varastettuja tunnistetietoja käyttöoikeuksien laajentamiseen ja operatiivisen hallinnan omaksumiseen.
Merkki toiminnan kypsymisestä
Uusien komponenttien, erityisesti Fooder-lataajan ja MuddyViper-takaportin, käyttöönotto korostaa huomattavaa edistystä MuddyWaterin teknisessä ja toiminnallisessa kehittyneisyydessä. Ryhmä investoi selvästi huomaamattomampiin pysyvyysmekanismeihin, tehokkaampaan tunnistetietojen varastamiseen ja syvempiin tiedusteluominaisuuksiin.
Kampanja korostaa jatkuvaa ja laajenevaa uhkaa Iranin kanssa liittoutuneiden kyberoperaattoreiden taholta. Heidän yhdistelmänsä räätälöityjä haittaohjelmia, huomaamattomia latausohjelmia, laillisia etähallintatyökaluja ja ryhmien välistä yhteistyötä viittaa siihen, että alueen organisaatioiden on pysyttävä tehostetussa valppaudessa ja vahvistettava puolustustaan yhä monimutkaisempia tunkeutumisstrategioita vastaan.
