הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית מתקפת כופרה של MuddyWater False Flag

מתקפת כופרה של MuddyWater False Flag

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:

קבוצת האיומים MuddyWater, בחסות המדינה האיראנית, שעוקבת גם תחת שמות בדויים כמו Mango Sandstorm, Seedworm ו-Static Kitten, נקשרה לקמפיין כופר מתוחכם שחוקרים מתארים כמבצע דגל כוזב. למרות שהחדירה דמתה בתחילה לפעילות הקשורה לפעולת כופר כשירות (RaaS) קונבנציונלית המשתמשת במותג כופר Chaos, ניתוח מעמיק יותר גילה מאפיינים התואמים מתקפת סייבר ממוקדת בחסות המדינה במסווה של סחיטה כלכלית.

המבצע, שזוהה בתחילת 2026, הסתמך במידה רבה על הנדסה חברתית באמצעות Microsoft Teams. התוקפים ניהלו מפגשי אינטראקציה אינטראקטיביים ביותר עם הקורבנות, תוך ניצול פונקציונליות שיתוף המסך כדי לאסוף אישורים ולשלוט בתהליכי אימות רב-גורמי. לאחר קבלת גישה, גורמי האיום נטשו טקטיקות כופר מסורתיות כמו הצפנת קבצים בקנה מידה גדול והתמקדו במקום זאת בגניבת נתונים, התמדה חשאית וגישה ארוכת טווח לרשת באמצעות כלי ניהול מרחוק.

סחר בפשעי סייבר המשמש להסתרת פעולות המדינה

חוקרים מאמינים שהקמפיין משקף מאמץ מכוון של MuddyWater לטשטש ייחוס על ידי אימוץ כלים וטכניקות המקושרים בדרך כלל למערכות אקולוגיות של פושעי סייבר. הקבוצה שילבה יותר ויותר תוכנות זדוניות תת-קרקעיות ומסגרות גישה מרחוק הזמינות מסחרית בפעילותה, כולל כלים כמו CastleRAT ו-Tsundere.

טקטיקה זו תואמת קמפיינים קודמים של MuddyWater ששילבו ריגול ופעילות הרסנית עם פעולות בסגנון כופר. בשנת 2020, הקבוצה כיוונה לארגונים ישראליים גדולים שהשתמשו בטוען PowGoop כדי לפרוס גרסה הרסנית של כופר Thanos. בשנת 2023, מיקרוסופט קישרה את הקבוצה ל-DEV-1084, שחקן המקושר לדמות DarkBit, במהלך מתקפות במסווה של אירועי כופר. בסוף 2025, מפעילים הקשורים לאיראן נחשדו גם בשימוש בתוכנת כופר Qilin נגד בית חולים ממשלתי ישראלי.

חוקרי אבטחה הגיעו למסקנה כי הקמפיין האחרון ככל הנראה כלל מפעילים הקשורים לאיראן שפעלו דרך תשתיות סייבר מבוססות תוך שאיפה ליעדים גיאופוליטיים רחבים יותר. השימוש ב-Qilin וההשתתפות במערכות אקולוגיות הקשורות לתוכנות כופר סיפקו ככל הנראה כיסוי מבצעי, הכחשה סבירה וגישה ליכולות תקיפה בוגרות, תוך סיוע לתוקפים להתחמק ממעקב הגנתי ישראלי מוגבר.

Chaos RaaS: מערכת אקולוגית של סחיטה הולכת וגדלה

Chaos צץ בתחילת 2025 כפעילות של Ransomware-as-a-Service הידועה בטקטיקות סחיטה כפולות אגרסיביות. הקבוצה קידמה את תוכנית השותפים שלה בפורומים תת-קרקעיים של פשעי סייבר כמו RAMP ו-RehubCom והרחיבה במהירות את טווח הפעילות המבצעי שלה.

קמפיינים של כאוס משלבים בדרך כלל הצפת דוא"ל, פישינג קולי והתקפות התחזות של Microsoft Teams, בהן גורמי איום מתחזים לצוותי תמיכת IT. הקורבנות מתמרנים להתקין יישומי גישה מרחוק כמו Microsoft Quick Assist, מה שמאפשר לתוקפים לבסס אחיזה בסביבות ארגוניות לפני הסלמת הרשאות, תנועה רוחבית ופריסת מטעני כופר.

הקבוצה גם הדגימה מודלים אגרסיביים יותר ויותר של סחיטה:

  • סחיטה כפולה באמצעות גניבת נתונים ודרישות כופר
  • סחיטה משולשת הכוללת איומים של התקפות מניעת שירות מבוזרות (DDoS)
  • טקטיקות סחיטה מרובעות הכוללות איומים ליצור קשר עם לקוחות, שותפים או מתחרים כדי להגביר את הלחץ על הקורבנות

עד מרץ 2026, Chaos גבתה 36 קורבנות בפלטפורמת ההדלפות שלה, כאשר רוב הארגונים ממוקמים בארצות הברית. מגזרי הבנייה, הייצור והשירותים העסקיים נראו בין התעשיות שהיו תחת הכותרת הקשה ביותר.

אנטומיה של הפריצה

במהלך הפריצה שנחקרה, התוקפים יזמו שיחות חיצוניות של Microsoft Teams עם עובדים כדי לצבור אמון ולעודד שיתוף מסך. לאחר מכן נוצלו חשבונות משתמשים שנפרצו לצורך סיור, שמירה על נוכחות, תנועה רוחבית וחילוץ נתונים.

בזמן שהיו מחוברים למערכות הקורבן, התוקפים ביצעו פקודות סיור, ניגשו לקבצים הקשורים ל-VPN והורו למשתמשים להזין ידנית אישורים למסמכי טקסט שנוצרו באופן מקומי. במספר מקרים, AnyDesk הותקן כדי לחזק את יכולות הגישה מרחוק.

בנוסף, גורמי האיום השתמשו בפרוטוקול שולחן עבודה מרוחק (RDP) כדי לאחזר קובץ הרצה בשם "ms_upd.exe" מכתובת השרת החיצונית 172.86.126.208 באמצעות כלי השירות curl. לאחר הפעלתו, התוכנה הזדונית יזמה שרשרת הדבקה רב-שלבית שנועדה לפרוס רכיבים זדוניים נוספים וליצור תקשורת פיקוד ובקרה מתמשכת.

ארסנל התוכנות הזדוניות מאחורי הקמפיין

שרשרת ההדבקה שילבה מספר רכיבי תוכנה זדונית נפרדים שפעלו יחד כדי לשמור על עמידות ולבצע פקודות מרחוק:

  • `ms_upd.exe` (Stagecomp) אסף מידע מערכת ויצר קשר עם שרת פקודה ובקרה כדי להוריד מטענים משניים, כולל `game.exe`, `WebView2Loader.dll` ו-`visualwincomp.txt`.
  • 'game.exe' (Darkcomp) תפקד כסוס טרויאני גישה מרחוק מותאם אישית שהתחזה לאפליקציית Microsoft WebView2 לגיטימית המבוססת על פרויקט WebView2APISample הרשמי.
  • 'WebView2Loader.dll' שימש כתלות לגיטימית הנדרשת לפונקציונליות של Microsoft Edge WebView2
  • קובץ 'visualwincomp.txt' הכיל נתוני תצורה מוצפנים ששימשו את ה-RAT לזיהוי תשתית פיקוד ובקרה

לאחר שהיה פעיל, טרויאן הגישה מרחוק יצר קשר רציף עם שרת הפקודות שלו כל 60 שניות, מה שאפשר למפעילים לבצע סקריפטים של PowerShell, להריץ פקודות מערכת, לתפעל קבצים וליצור הפעלות אינטראקטיביות של שורת פקודה.

ראיות המקשרות את המבצע ל-MuddyWater

הייחוס ל-MuddyWater התחזק בעקבות גילוי תעודת חתימת קוד המקושרת ל-'דונלד גיי', אשר שימשה לחתימה על דוגמת התוכנה הזדונית 'ms_upd.exe'. אותה תעודה נקשרה בעבר לתוכנה הזדונית של MuddyWater, כולל גרסת הורדה של CastleLoader המכונה Fakeset.

החוקרים ציינו כי המבצע הדגים התכנסות משמעותית בין פעילות ריגול בחסות מדינה לבין שיטות פעולה של פושעי סייבר. שילוב מיתוג תוכנות כופר, משא ומתן על סחיטה ומסגרות תוכנות זדוניות זמינות מסחרית סיבך את מאמצי הייחוס והסיט את תשומת הלב ההגנתית לפעילויות תגובה מיידיות לכופר במקום מנגנוני התמדה ארוכי טווח שהוקמו באמצעות כלי גישה מרחוק.

מדוע ההתקפה בלטה

אחד ההיבטים יוצאי הדופן ביותר של הקמפיין היה היעדר לכאורה של הצפנת קבצים נרחבת למרות השימוש בחפצי כופר Chaos. סטייה זו מהתנהגות כופר סטנדרטית מרמזת מאוד על כך שרכיב הכופר תפקד בעיקר כהסוואה או הטעיה מבצעית ולא כמטרת המשימה העיקרית.

הקמפיין מדגיש גם מגמה גוברת בקרב גורמי איום איראניים לשלב כלי פשעי סייבר בפעולות המונחות על ידי המדינה. על ידי מינוף תשתיות תת-קרקעיות קיימות ומערכות אקולוגיות של תוכנות זדוניות, קבוצות כמו MuddyWater משיגות גמישות תפעולית גדולה יותר, מפחיתות עלויות פיתוח פנימיות ומסבכות משמעותית את מאמצי הייחוס עבור מגנים ואנליסטים מודיעיניים כאחד.

מגמות

הכי נצפה

טוען...