דלת אחורית של MuddyViper

גל פעילות ריגול שנערך לאחרונה התמקד במגוון רחב של ארגונים ישראליים באקדמיה, בהנדסה, בממשל המקומי, בייצור, בטכנולוגיה, בתחבורה ובתשתיות. המבצע, שיוחס לגורמים המזוהים עם המדינה האיראנית, הציג דלת אחורית שלא הייתה מוכרת קודם לכן בשם MuddyViper, מה שסימן הסלמה חדשה בטקטיקות של הקבוצה. חברת טכנולוגיה אחת שבסיסה במצרים נלכדה גם היא במוקד, כאשר הקמפיין נמשך מסוף ספטמבר 2024 ועד אמצע מרץ 2025.

יריב מוכר עם יכולות מתרחבות

המתקפות נקשרו ל-MuddyWater, הידועה גם בשם Mango Sandstorm, Static Kitten או TA450, קבוצה המוערכת כפעילה תחת משרד המודיעין והביטחון של איראן. MuddyWater, הפעילה לפחות משנת 2017, בעלת רקורד ארוך של ריגול ופעולות הרסניות, כולל קמפיינים קודמים של POWERSTATS ושימוש בתוכנת הכופר PowGoop במהלך מבצע Quicksand.

על פי ממצאים שפורסמו, הקבוצה ממשיכה לתקוף מטרות ישראליות הכוללות רשויות מקומיות, תחבורה אווירית, תיירות, שירותי בריאות, רשתות טלקום, ספקי IT ועסקים קטנים ובינוניים.

ספר ההדרכה המתפתח שלהם: מהנדסה חברתית ועד ניצול חולשות VPN

גורם האיום מסתמך בדרך כלל על דוא"ל פישינג מסוג "Spear Phishing" וניצול לרעה של פגיעויות VPN ידועות כדי לפרוץ לשרת. מבחינה היסטורית, חדירות אלו כללו פריסה של כלי ניהול מרחוק לגיטימיים - סימן היכר של פעילות MuddyWater. עם זאת, מאז מאי 2024, דוא"ל הפישינג שלהם החלו לספק דלת אחורית חשאית המכונה BugSleep (הנקראת גם MuddyRot), מה שמראה מעבר לכיוון כלים מותאמים אישית יותר.

הארסנל הרחב יותר של הקבוצה נרחב וכולל את Blackout, AnchorRat, CannonRat, Neshta ואת מסגרת Sad C2, המסייעת בהפצת טוענים כמו TreasureBox ו-BlackPearl RAT.

פישינג נותר הצעד הראשון

גל ההתקפות האחרון עדיין מתחיל עם מיילים זדוניים המכילים קבצי PDF מצורפים. קבצי PDF אלה מפנים את הקורבנות להורדות של כלים מרוחקים הנמצאים בשימוש נרחב כמו Atera, Level, PDQ ו-SimpleHelp. לאחר שהתקיפים רוכשים דריסת רגל, התוקפים עוברים לפרוס רכיבים מיוחדים יותר.

הכירו את Fooder ו-MuddyViper

קמפיין זה מציג באופן בולט טוען בשם Fooder, שנבנה כדי לפענח ולהפעיל את הדלת האחורית MuddyViper מבוססת C/C++. גרסאות של Fooder נראו גם מפיצות כלי מנהור go-socks5 ואת כלי הקוד הפתוח HackBrowserData כדי לאסוף נתוני דפדפן מפלטפורמות רבות (למעט Safari).

MuddyViper עצמו מעניק שליטה נרחבת, המאפשרת למפעילים לאסוף פרטי מערכת, להפעיל קבצים ופקודות, להעביר נתונים פנימה והחוצה ולגנוב אישורי Windows ומידע על דפדפן. הוא תומך ב-20 פקודות מובנות לשמירה על גישה נסתרת. חלק מגרסאות Fooder מתחפשות למשחק Snake הקלאסי ומסתמכות על ביצוע מושהה כדי לעקוף את הזיהוי, טכניקה שצוינה לראשונה בספטמבר 2025.

כלים נוספים שנצפו במהלך המבצע

החוקרים תיעדו גם את פריסתם של מספר כלי עזר תומכים שנועדו להתמדה, גניבת אישורים ואיסוף נתונים:

VAXOne – דלת אחורית שמתחזה ל-Veeam, AnyDesk, Xerox או עדכון OneDrive.

CE-Notes – כלי לגניבת נתוני דפדפן שנועד לעקוף את ההצפנה של Chrome הקשורה לאפליקציות על ידי גניבת מפתח ההצפנה של Local State.

Blub – גונב AC/C++ שאוסף נתוני התחברות מכרום, אדג', פיירפוקס ואופרה.

LP-Notes – כלי לאיסוף אישורים בפורמט AC/C++ המציג בקשת אבטחה הונאה של Windows כדי להערים על משתמשים ולהזין את פרטי הכניסה שלהם.

שיתוף פעולה עם הליסאום: חפיפה תפעולית מתעוררת

החקירה גילתה כי פעילותה של MuddyWater הצטלבה עם פעילותה של Lyceum (הידועה גם בשם Hexane, Spirlin או Siamesekitten), תת-קבוצה של OilRig (APT34) הפעילה בריגול סייבר אזורי מאז 2018 לפחות.

במהלך אירועים שזוהו בתחילת 2025, MuddyWater ככל הנראה שימשה כמתווכת גישה ראשונית בתוך ארגון ייצור ישראלי על ידי פריסת כלי שולחן עבודה מרוחק ומטען Mimikatz מותאם אישית. לאחר מכן, ככל הנראה מנוצלו האישורים הגנובים על ידי Lyceum כדי להרחיב את הגישה ולקבל שליטה תפעולית.

סימן לבגרות תפעולית גוברת

הצגת רכיבים חדשים, ובמיוחד טוען ה-Fooder והדלת האחורית של MuddyViper, מדגישה התקדמות ניכרת בתחכום הטכני והתפעולי של MuddyWater. הקבוצה משקיעה בבירור במנגנוני זיהוי חשאיים יותר, גניבת אישורים יעילה יותר ויכולות סיור מעמיקות יותר.

הקמפיין מדגיש איום מתמשך ומתרחב מצד מפעילי סייבר המזדהים עם איראן. השילוב שלהם של תוכנות זדוניות מותאמות אישית, תוכנות טעינה חשאיות, כלי ניהול מרחוק לגיטימיים ושיתוף פעולה בין-ארגוני מצביע על כך שארגונים באזור חייבים להישאר בכוננות מוגברת ולחזק את ההגנות מפני אסטרטגיות חדירה מורכבות יותר ויותר.