מבצע ההתקפה של מבצע אולאלאמפו
קבוצת האיומים MuddyWater, המזוהה עם המדינה האיראנית, המנוהלת גם תחת השם Earth Vetala, Mango Sandstorm ו-MUDDYCOAST, השיקה קמפיין סייבר חדש בשם Operation Olalampo. המבצע כוון בעיקר נגד ארגונים ויחידים ברחבי אזור המזרח התיכון וצפון אפריקה.
הקמפיין, שזוהה לראשונה ב-26 בינואר 2026, מציג מספר משפחות חדשות של תוכנות זדוניות תוך שימוש חוזר ברכיבים שהיו קשורים בעבר לקבוצה. חוקרי אבטחה מדווחים כי הפעילות משקפת את המשך דפוסי הפעילות המבוססים של MuddyWater, ומחזקת את נוכחותה המתמשכת ברחבי אזור META (המזרח התיכון, טורקיה ואפריקה).
תוכן העניינים
וקטורי זיהום ושרשראות תקיפה
הקמפיין פועל לפי מתודולוגיית חדירה מוכרת, התואמת את פעולות MuddyWater הקודמות. הגישה הראשונית מתחילה בדרך כלל בהודעות דוא"ל מסוג "פישינג" המכילות קבצים מצורפים זדוניים של Microsoft Office. מסמכים אלה מטמיעים קוד מאקרו שנועד לפענח ולהפעיל מטענים על מערכת הקורבן, ובסופו של דבר מעניקים שליטה מרחוק לתוקפים.
מספר וריאציות של התקפה נצפו:
- מסמך זדוני של מיקרוסופט אקסל מבקש מהקורבנות להפעיל פקודות מאקרו, מה שגורם לפריסת CHAR מסוג Backdoor מבוסס Rust.
- גרסה קשורה מספקת את מוריד GhostFetch, אשר לאחר מכן מתקין את שתל GhostBackDoor.
- שרשרת הדבקה שלישית משתמשת בפיתיונות נושאיים כמו כרטיסי טיסה או דוחות תפעוליים, במקום להתחזות לחברת אנרגיה ושירותים ימיים מהמזרח התיכון, כדי להפיץ את מוריד ה-HTTP_VIP. גרסה זו מתקינה בסופו של דבר את אפליקציית שולחן העבודה המרוחק של AnyDesk לגישה מתמשכת.
בנוסף, נצפתה הקבוצה כשהיא מנצלת פגיעויות שנחשפו לאחרונה בשרתים הפונים לאינטרנט כדי לקבל גישה ראשונית לסביבות ממוקדות.
ארסנל תוכנות זדוניות: כלים מותאמים אישית ושתלים מודולריים
מבצע אולאלאמפו מסתמך על מערכת אקולוגית מובנית ורב-שלבית של תוכנות זדוניות, המיועדת לסיור, התמדה ושליטה מרחוק. הכלים העיקריים שזוהו בקמפיין זה כוללים:
GhostFetch – תוכנת הורדה בשלב הראשון, אשר מאתרת פרופילים של מערכות פגועות על ידי אימות תנועות עכבר ורזולוציית מסך, זיהוי כלי ניפוי שגיאות, זיהוי ארטיפקטים של מכונות וירטואליות ובדיקת תוכנות אנטי-וירוס. היא מאחזרת ומבצעת מטענים משניים ישירות בזיכרון.
GhostBackDoor – שתל שלב שני שמסופק על ידי GhostFetch. הוא מאפשר גישה אינטראקטיבית למעטפת, פעולות קריאה/כתיבה של קבצים ויכול להפעיל מחדש את GhostFetch.
HTTP_VIP – תוכנת הורדה מקורית שמבצעת סיור מערכת ומתחברת לדומיין החיצוני "codefusiontech(dot)org" לצורך אימות. היא פורסת את AnyDesk משרת פיקוד ובקרה (C2). גרסה חדשה יותר משפרת את הפונקציונליות עם איסוף נתוני קורבנות, ביצוע מעטפת אינטראקטיבית, העברות קבצים, לכידת לוח כתיבה ומרווחי איתות ניתנים להגדרה.
CHAR – דלת אחורית מבוססת Rust הנשלטת באמצעות בוט Telegram המזוהה כ-'Olalampo' (שם משתמש: stager_51_bot). היא תומכת בניווט בספריות ובביצוע פקודות cmd.exe או PowerShell.
פונקציונליות PowerShell המשויכת ל-CHAR מאפשרת ביצוע של פרוקסי הפוך של SOCKS5 או דלת אחורית נוספת בשם Kalim. היא גם מאפשרת חילוץ נתוני דפדפן ומפעילה קבצים הרצה שכותרתם 'sh.exe' ו-'gshdoc_release_X64_GUI.exe'.
פיתוח בסיוע בינה מלאכותית וחפיפת קוד
ניתוח טכני של קוד המקור של CHAR חשף אינדיקטורים לפיתוח בסיוע בינה מלאכותית. נוכחותם של אימוג'ים בתוך מחרוזות ניפוי שגיאות תואמת ממצאים קודמים שנחשפו על ידי גוגל, שדיווחה כי MuddyWater עורכת ניסויים בכלים יצירתיים של בינה מלאכותית כדי לשפר את פיתוח תוכנות זדוניות, במיוחד עבור העברת קבצים ויכולות הפעלה מרחוק.
ניתוח נוסף מראה דמיון מבני וסביבתי בין CHAR לבין הנוזקה BlackBeard, המבוססת על Rust, הידועה גם בשם Archer RAT או RUSTRIC, שנפרסה בעבר על ידי הקבוצה נגד ישויות מזרח תיכוניות. חפיפות אלו מצביעות על צינורות פיתוח משותפים ועידון איטרטיבי של הכלים.
הרחבת יכולות וכוונה אסטרטגית
MuddyWater נותרה גורם איום מתמשך ומתפתח באזור META. שילוב פיתוח בסיוע בינה מלאכותית, המשך שיפור תוכנות זדוניות בהתאמה אישית, ניצול פגיעויות הפונות לציבור וגיוון תשתית C2 מדגימים יחד מחויבות ארוכת טווח להרחבת תפעולית.
מבצע אולאלאמפו מדגיש את המיקוד המתמשך של הקבוצה במטרות מבוססות המזרח התיכון וצפון אפריקה (MENA) ומדגיש את התחכום הגובר של יכולות הפריצה שלה. ארגונים הפועלים באזור צריכים לשמור על ערנות מוגברת, לאכוף מגבלות מאקרו, לנטר תקשורת פיקוד ובקרה (C2) יוצאת, ולתעדף תיקון פגיעויות בזמן כדי למתן את החשיפה לנוף איומים מתפתח זה.
