Monen lisenssin alennustarjous
Uhatietokanta Advanced Persistent Threat (APT) Operaatio Olalampo-hyökkäyskampanja

Operaatio Olalampo-hyökkäyskampanja

Vuonna Mezo vuonna Advanced Persistent Threat (APT), Haittaohjelma
Käännä:

Iranilainen valtiollinen uhkaryhmä MuddyWater, jota seurataan myös nimillä Earth Vetala, Mango Sandstorm ja MUDDYCOAST, on käynnistänyt uuden kyberkampanjan nimeltä Operaatio Olalampo. Operaatio on kohdistettu pääasiassa organisaatioihin ja yksilöihin Lähi-idän ja Pohjois-Afrikan (MENA) alueella.

Kampanja, joka havaittiin ensimmäisen kerran 26. tammikuuta 2026, esittelee useita uusia haittaohjelmaperheitä käyttäen uudelleen aiemmin ryhmään liitettyjä komponentteja. Tietoturvatutkijat raportoivat, että toiminta heijastaa MuddyWaterin vakiintuneiden toimintatapojen jatkumista ja vahvistaa sen pysyvää läsnäoloa META-alueella (Lähi-itä, Turkki ja Afrikka).

Tartuntavektorit ja hyökkäysketjut

Kampanja noudattaa tuttua tunkeutumismenetelmää, joka on yhdenmukainen aiempien MuddyWater-operaatioiden kanssa. Alkuperäinen pääsy alkaa tyypillisesti huijausviesteillä, jotka sisältävät haitallisia Microsoft Office -liitteitä. Nämä asiakirjat sisältävät makrokoodia, joka on suunniteltu purkamaan ja suorittamaan hyötykuormia uhrin järjestelmässä, mikä lopulta antaa hyökkääjille etähallinnan.

Hyökkäysmuodoista on havaittu useita muunnelmia:

  • Haitallinen Microsoft Excel -dokumentti kehottaa uhreja ottamaan makrot käyttöön, mikä laukaisee Rust-pohjaisen CHAR-takaportin käyttöönoton.
  • Aiheeseen liittyvä variantti tarjoaa GhostFetch-latausohjelman, joka asentaa myöhemmin GhostBackDoor-implantin.
  • Kolmas tartuntaketju käyttää Lähi-idän energia- ja meripalveluyrityksen sijaan teemallisia houkuttimia, kuten lentolippuja tai operatiivisia raportteja, HTTP_VIP-latausohjelman levittämiseen. Tämä variantti asentaa lopulta AnyDesk-etätyöpöytäsovelluksen pysyvää käyttöä varten.

Lisäksi ryhmän on havaittu hyödyntävän äskettäin paljastuneita haavoittuvuuksia internetiin kytkeytyvissä palvelimissa saadakseen alustavan pääsyn kohdennettuihin ympäristöihin.

Haittaohjelmien arsenaali: räätälöidyt työkalut ja modulaariset implantit

Operaatio Olalampo perustuu jäsenneltyyn, monivaiheiseen haittaohjelmaekosysteemiin, joka on suunniteltu tiedustelua, pysyvyyttä ja etähallintaa varten. Tässä kampanjassa tunnistettuja päätyökaluja ovat:

GhostFetch – Ensimmäisen vaiheen latausohjelma, joka profiloi vaarantuneet järjestelmät tarkistamalla hiiren liikkeen ja näytön resoluution, havaitsemalla virheenkorjaustyökaluja, tunnistamalla virtuaalikoneen artefaktat ja tarkistamalla virustorjuntaohjelmistoja. Se hakee ja suorittaa toissijaisia hyötykuormia suoraan muistista.

GhostBackDoor – GhostFetchin toimittama toisen vaiheen implantti. Se mahdollistaa interaktiivisen shell-käytön, tiedostojen luku-/kirjoitustoiminnot ja voi käynnistää GhostFetchin uudelleen.

HTTP_VIP – Natiivi latausohjelma, joka suorittaa järjestelmän tiedustelun ja muodostaa yhteyden ulkoiseen toimialueeseen "codefusiontech(dot)org" todennusta varten. Se ottaa AnyDeskin käyttöön komento- ja hallintapalvelimelta (C2). Uudempi versio parantaa toiminnallisuutta uhritietojen keräämisellä, interaktiivisella komentotulkin suorittamisella, tiedostojen siirroilla, leikepöydän kaappauksella ja määritettävillä jäljitysväleillä.

CHAR – Rust-pohjainen takaovi, jota hallitaan Telegram-botin 'Olalampo' (käyttäjätunnus: stager_51_bot) kautta. Se tukee hakemistonavigointia ja cmd.exe- tai PowerShell-komentojen suorittamista.

CHAR-funktioon liittyvä PowerShell-toiminnallisuus mahdollistaa SOCKS5-käänteisen välityspalvelimen tai Kalim-nimisen lisätakaoven suorittamisen. Se myös helpottaa selaintietojen vuotamista ja käynnistää 'sh.exe'- ja 'gshdoc_release_X64_GUI.exe'-nimisiä suoritettavia tiedostoja.

Tekoälyavusteinen kehitys ja koodin päällekkäisyys

CHAR-lähdekoodin tekninen analyysi paljasti merkkejä tekoälyavusteisesta kehityksestä. Emojien esiintyminen debug-merkkijonoissa on linjassa Googlen aiempien havaintojen kanssa, joiden mukaan MuddyWater on kokeillut generatiivisia tekoälytyökaluja haittaohjelmien kehityksen parantamiseksi, erityisesti tiedostojen siirron ja etäsuorituskyvyn osalta.

Lisäanalyysi osoittaa rakenteellisia ja ympäristöllisiä yhtäläisyyksiä CHARin ja Rust-pohjaisen BlackBeard-haittaohjelman, joka tunnetaan myös nimillä Archer RAT tai RUSTRIC. Ryhmä käytti tätä aiemmin Lähi-idän tahoja vastaan. Nämä päällekkäisyydet viittaavat yhteisiin kehitysputkiin ja työkalujen iteratiiviseen parantamiseen.

Valmiuksien ja strategisen tahtotilan laajentaminen

MuddyWater on edelleen pysyvä ja kehittyvä uhkatoimija META-alueella. Tekoälyavusteisen kehityksen integrointi, räätälöityjen haittaohjelmien jatkuva parantaminen, yleisölle kohdistettujen haavoittuvuuksien hyödyntäminen ja C2-infrastruktuurin monipuolistaminen osoittavat yhdessä pitkän aikavälin sitoutumista toiminnan laajentamiseen.

Operaatio Olalampo korostaa ryhmän jatkuvaa keskittymistä Lähi-idän ja Pohjois-Afrikan kohteisiin ja korostaa sen tunkeutumiskyvyn kasvavaa kehittymistä. Alueella toimivien organisaatioiden tulisi ylläpitää tehostettua valppautta, valvoa makrorajoituksia, seurata lähtevää komento- ja valvontaviestintää (C2) ja priorisoida oikea-aikaista haavoittuvuuksien korjaamista lieventääkseen altistumista tälle kehittyvälle uhkakuvalle.

Trendaavat

Federal Equity Trust Bankin korvaussähköpostihuijaus

Tietojenkalastelu, Roskaposti
Valppaana pysyminen odottamattomien sähköpostien käsittelyssä on olennaista nykypäivän uhkakuvissa. Kyberrikolliset esiintyvät usein hyvämaineisina instituutioina saadakseen luottamuksen ja manipuloidakseen vastaanottajia paljastamaan arkaluonteisia tietoja tai lähettämään rahaa. Niin kutsuttu Federal Equity Trust Bank -korvausviesti on yksi tällainen esimerkki. Nämä viestit eivät liity...

Eniten katsottu

Ladataan...