MuddyWater napad lažne zastave ransomwareom
Iranska državna skupina za prijetnje MuddyWater, koja se prati i pod pseudonimima kao što su Mango Sandstorm, Seedworm i Static Kitten, povezana je sa sofisticiranom kampanjom ransomwarea koju istražitelji opisuju kao operaciju pod lažnom zastavom. Iako je upad u početku nalikovao aktivnosti povezanoj s konvencionalnom operacijom Ransomware-as-a-Service (RaaS) korištenjem marke ransomwarea Chaos, dublja analiza otkrila je karakteristike koje su u skladu s ciljanim državno sponzoriranim kibernetičkim napadom prikrivenim kao financijski motivirana iznuda.
Operacija, identificirana početkom 2026., uvelike se oslanjala na društveni inženjering putem Microsoft Teamsa. Napadači su provodili visoko interaktivne sesije angažmana sa žrtvama, koristeći funkcionalnost dijeljenja zaslona za prikupljanje vjerodajnica i manipuliranje procesima višefaktorske autentifikacije. Nakon što su dobili pristup, akteri prijetnji napustili su tradicionalne taktike ransomwarea poput šifriranja datoteka velikih razmjera i umjesto toga usredotočili su se na krađu podataka, prikrivenu upornost i dugoročni pristup mreži putem uslužnih programa za daljinsko upravljanje.
Sadržaj
Kibernetički kriminal korišten za prikrivanje državnih operacija
Istraživači vjeruju da kampanja odražava namjerni napor MuddyWatera da prikrije atribuciju usvajanjem alata i tehnika koje se obično povezuju s kibernetičkim kriminalnim ekosustavima. Grupa je sve više integrirala komercijalno dostupan podzemni zlonamjerni softver i okvire za udaljeni pristup u svoje poslovanje, uključujući alate poput CastleRAT-a i Tsunderea.
Ova taktika je u skladu s prethodnim MuddyWater kampanjama koje su kombinirale špijunažu i destruktivne aktivnosti s operacijama u stilu ransomwarea. Godine 2020. skupina je ciljala velike izraelske organizacije koristeći PowGoop loader za implementaciju destruktivne varijante Thanos ransomwarea. Godine 2023. Microsoft je povezao skupinu s DEV-1084, akterom povezanim s personom DarkBit, tijekom napada prikrivenih kao incidenti ransomwarea. Do kraja 2025., operateri povezani s Iranom također su bili osumnjičeni za korištenje Qilin ransomwarea protiv izraelske vladine bolnice.
Sigurnosni istraživači zaključili su da je najnovija kampanja vjerojatno uključivala operatere povezane s Iranom koji djeluju putem uspostavljenih kibernetičko-kriminalnih infrastruktura dok istovremeno teže širim geopolitičkim ciljevima. Korištenje Qilina i sudjelovanje u ekosustavima povezanim s ransomwareom vjerojatno je pružilo operativnu pokriće, uvjerljivo poricanje i pristup zrelim mogućnostima napada, a istovremeno je pomoglo napadačima da izbjegnu pojačani izraelski obrambeni nadzor.
Chaos RaaS: Rastući ekosustav iznude
Chaos se pojavio početkom 2025. kao Ransomware-as-a-Service operacija poznata po agresivnim taktikama dvostruke iznude. Grupa je promovirala svoj partnerski program na podzemnim forumima za kibernetički kriminal kao što su RAMP i RehubCom te brzo proširila svoj operativni doseg.
Kampanje kaosa obično kombiniraju preplavljivanje e-poštom, glasovno krađu identiteta i napade lažnim predstavljanjem putem Microsoft Teamsa u kojima se akteri prijetnji predstavljaju kao IT osoblje za podršku. Žrtve se manipulira da instaliraju aplikacije za udaljeni pristup poput Microsoft Quick Assista, što napadačima omogućuje uspostavljanje uporišta unutar korporativnih okruženja prije eskalacije privilegija, lateralnog kretanja i postavljanja ransomware paketa.
Grupa je također demonstrirala sve agresivnije modele iznude:
- Dvostruka iznuda kroz krađu podataka i zahtjeve za otkupninu
- Trostruka iznuda koja uključuje prijetnje distribuiranim napadima uskraćivanja usluge (DDoS)
- Četverostruke taktike iznude koje uključuju prijetnje kontaktiranjem kupaca, partnera ili konkurenata kako bi se pojačao pritisak na žrtve
Do ožujka 2026., Chaos je na svojoj platformi za curenje informacija odnio 36 žrtava, a većina organizacija nalazila se u Sjedinjenim Državama. Sektori građevinarstva, proizvodnje i poslovnih usluga pojavili su se među najnapornije ciljanim industrijama.
Anatomija upada
Tijekom istraženog upada, napadači su inicirali vanjske razgovore putem Microsoft Teamsa sa zaposlenicima kako bi stekli povjerenje i potaknuli sesije dijeljenja zaslona. Kompromitirani korisnički računi zatim su iskorišteni za izviđanje, istrajnost, lateralno kretanje i krađu podataka.
Dok su bili povezani sa sustavima žrtve, napadači su izvršavali naredbe za izviđanje, pristupali datotekama povezanim s VPN-om i upućivali korisnike da ručno unesu vjerodajnice u lokalno kreirane tekstualne dokumente. U nekoliko slučajeva, AnyDesk je instaliran kako bi se ojačale mogućnosti udaljenog pristupa.
Zlonamjerni akteri su dodatno koristili Remote Desktop Protocol (RDP) kako bi preuzeli izvršnu datoteku pod nazivom "ms_upd.exe" s vanjske adrese poslužitelja 172.86.126.208 pomoću uslužnog programa curl. Nakon pokretanja, zlonamjerni softver pokrenuo je višefazni lanac infekcije osmišljen za implementaciju dodatnih zlonamjernih komponenti i uspostavljanje trajne komunikacije naredbi i kontrola.
Arsenal zlonamjernog softvera iza kampanje
Lanac infekcije uključivao je nekoliko različitih komponenti zlonamjernog softvera koje su zajedno radile kako bi održale postojanost i izvršavale udaljene naredbe:
- 'ms_upd.exe' (Stagecomp) prikupio je sistemske informacije i kontaktirao poslužitelj za naredbe i kontrolu kako bi preuzeo sekundarne datoteke, uključujući 'game.exe', 'WebView2Loader.dll' i 'visualwincomp.txt'.
- 'game.exe' (Darkcomp) funkcionirao je kao prilagođeni trojanac za udaljeni pristup maskiran kao legitimna Microsoft WebView2 aplikacija temeljena na službenom projektu WebView2APISample.
- Datoteka 'WebView2Loader.dll' poslužila je kao legitimna ovisnost potrebna za funkcionalnost preglednika Microsoft Edge WebView2.
- Datoteka 'visualwincomp.txt' sadržavala je šifrirane konfiguracijske podatke koje je RAT koristio za identifikaciju infrastrukture za zapovijedanje i kontrolu.
Nakon što je bio aktivan, trojanac za udaljeni pristup kontinuirano je komunicirao sa svojim naredbenim poslužiteljem svakih 60 sekundi, omogućujući operaterima izvršavanje PowerShell skripti, pokretanje sistemskih naredbi, manipuliranje datotekama i pokretanje interaktivnih sesija naredbenog retka.
Dokazi koji povezuju operaciju s MuddyWaterom
Pripisivanje MuddyWateru ojačano je otkrićem certifikata za potpisivanje koda povezanog s 'Donaldom Gayom', koji je korišten za potpisivanje uzorka zlonamjernog softvera 'ms_upd.exe'. Isti certifikat prethodno je bio povezan sa zlonamjernim softverom MuddyWater, uključujući varijantu programa za preuzimanje CastleLoadera poznatu kao Fakeset.
Istraživači su primijetili da je operacija pokazala značajnu konvergenciju između špijunskih aktivnosti sponzoriranih od strane države i operativnih metoda kibernetičkog kriminala. Integracija brendiranja ransomwarea, pregovora o iznudi i komercijalno dostupnih okvira za zlonamjerni softver zakomplicirala je napore atribucije i preusmjerila obrambenu pozornost prema aktivnostima trenutnog odgovora na otkupninu, a ne prema dugoročnim mehanizmima ustrajnosti uspostavljenim putem alata za daljinski pristup.
Zašto je napad bio uočljiv
Jedan od najneobičnijih aspekata kampanje bio je očiti nedostatak široko rasprostranjenog šifriranja datoteka unatoč korištenju artefakata Chaos ransomwarea. Ovo odstupanje od standardnog ponašanja ransomwarea snažno sugerira da je komponenta ransomwarea funkcionirala prvenstveno kao kamuflaža ili operativno odvođenje pozornosti, a ne kao primarni cilj misije.
Kampanja također ističe rastući trend među iranskim akterima prijetnji da u državne operacije uključuju alate za kibernetički kriminal. Iskorištavanjem postojećih podzemnih infrastruktura i ekosustava zlonamjernog softvera, grupe poput MuddyWatera dobivaju veću operativnu fleksibilnost, smanjuju interne troškove razvoja i značajno kompliciraju napore atribucije za branitelje i obavještajne analitičare.
