MuddyViper stražnja vrata
Nedavni val špijunskih aktivnosti usmjerio se na širok raspon izraelskih organizacija u akademskoj zajednici, inženjerstvu, lokalnoj upravi, proizvodnji, tehnologiji, prometu i komunalnim uslugama. Operacija, koja se pripisuje iranskim državnim akterima, uvela je prethodno nepoznati backdoor nazvan MuddyViper, signalizirajući novu eskalaciju taktika skupine. Jedna tehnološka tvrtka sa sjedištem u Egiptu također se našla na meti, a kampanja je trajala od kraja rujna 2024. do sredine ožujka 2025.
Sadržaj
Poznati protivnik sa sve većim mogućnostima
Napadi su povezani s MuddyWaterom, poznatim i kao Mango Sandstorm, Static Kitten ili TA450, grupom za koju se procjenjuje da djeluje pod okriljem iranskog Ministarstva obavještajnih službi i sigurnosti. MuddyWater, aktivan najmanje od 2017. godine, ima dugu povijest špijunaže i destruktivnih djelovanja, uključujući ranije POWERSTATS kampanje i korištenje PowGoop ransomwarea tijekom Operacije Quicksand.
Prema objavljenim nalazima, skupina nastavlja napadati izraelske ciljeve koji obuhvaćaju lokalne vlasti, zračni promet, turizam, zdravstvene usluge, telekomunikacijske mreže, IT pružatelje usluga i mala i srednja poduzeća.
Njihov razvojni priručnik: od društvenog inženjeringa do iskorištavanja slabosti VPN-a
Akter prijetnje obično se oslanja na spear-phishing e-poruke i zlouporabu poznatih VPN ranjivosti kako bi ostvario ulazak. Povijesno gledano, ovi upadi uključivali su implementaciju legitimnih alata za udaljenu administraciju - što je obilježje MuddyWaterovog poslovanja. Međutim, od svibnja 2024. njihove phishing e-poruke počele su isporučivati prikriveni backdoor poznat kao BugSleep (također nazvan MuddyRot), pokazujući pomak prema prilagođenijim alatima.
Širi arsenal grupe je opsežan i uključuje Blackout, AnchorRat, CannonRat, Neshta i Sad C2 framework, koji pomaže u širenju učitavača poput TreasureBoxa i BlackPearl RAT-a.
Phishing ostaje prvi korak
Najnoviji val napada i dalje započinje zlonamjernim e-porukama koje sadrže PDF priloge. Ti PDF-ovi usmjeravaju žrtve prema preuzimanjima široko korištenih alata za udaljeni rad kao što su Atera, Level, PDQ i SimpleHelp. Nakon što se osigura uporište, napadači kreću s implementacijom specijaliziranijih komponenti.
Predstavljamo Foodera i MuddyVipera
Ova kampanja istaknuto ističe program za učitavanje pod nazivom Fooder, izgrađen za dešifriranje i izvršavanje backdoora MuddyViper temeljenog na C/C++. Također su viđene varijante Foodera koje distribuiraju uslužne programe za tuneliranje go-socks5 i alat otvorenog koda HackBrowserData za prikupljanje podataka preglednika s brojnih platformi (osim Safarija).
Sam MuddyViper pruža opsežnu kontrolu, omogućujući operaterima prikupljanje detalja o sustavu, pokretanje datoteka i naredbi, premještanje podataka unutra i van te krađu Windows vjerodajnica i informacija preglednika. Podržava 20 ugrađenih naredbi za održavanje skrivenog pristupa. Neke varijante Foodera maskiraju se u klasičnu igru Snake i oslanjaju se na odgođeno izvršavanje kako bi zaobišle detekciju, tehniku koja je prvi put zabilježena u rujnu 2025.
Dodatni alati uočeni tijekom rada
Istraživači su također dokumentirali primjenu nekoliko pomoćnih programa dizajniranih za perzistentnost, krađu vjerodajnica i prikupljanje podataka:
VAXOne – Stražnja vrata koja se maskiraju kao Veeam, AnyDesk, Xerox ili program za ažuriranje OneDrivea.
CE-Notes – Alat za krađu podataka preglednika dizajniran za zaobilaženje Chromeove enkripcije vezane uz aplikaciju krađom ključa za lokalno šifriranje stanja.
Blub – AC/C++ kradljivac koji prikuplja podatke za prijavu iz Chromea, Edgea, Firefoxa i Opere.
LP-Notes – Alat za prikupljanje AC/C++ vjerodajnica koji prikazuje lažni sigurnosni upit sustava Windows kako bi prevario korisnike da unesu svoje podatke za prijavu.
Suradnja s Lyceumom: Pojavljuje se operativno preklapanje
Istraga je otkrila da se aktivnost MuddyWatera preklapa s djelovanjem Lyceuma (poznatog i kao Hexane, Spirlin ili Siamesekitten), podskupine OilRiga (APT34) aktivne u regionalnoj kibernetičkoj špijunaži najmanje od 2018. godine.
Tijekom incidenata identificiranih početkom 2025., MuddyWater je vjerojatno djelovao kao početni posrednik pristupa unutar izraelske proizvodne organizacije implementirajući alate za udaljenu radnu površinu i prilagođeni Mimikatz učitivač. Ukradene vjerodajnice je potom vjerojatno iskoristio Lyceum za proširenje pristupa i preuzimanje operativne kontrole.
Znak sve veće operativne zrelosti
Uvođenje novih komponenti, posebno Fooder loadera i MuddyViper backdoora, ističe značajan napredak u tehničkoj i operativnoj sofisticiranosti MuddyWatera. Grupa očito ulaže u prikrivenije mehanizme perzistentnosti, učinkovitiju krađu vjerodajnica i dublje mogućnosti izviđanja.
Kampanja naglašava kontinuiranu i rastuću prijetnju od strane iranskih kibernetičkih operatera. Njihova kombinacija prilagođenog zlonamjernog softvera, prikrivenih programa za učitavanje, legitimnih alata za daljinsku administraciju i suradnje među grupama sugerira da organizacije u regiji moraju ostati u stanju pojačane pripravnosti i pojačati obranu od sve složenijih strategija upada.
