MuddyViper hátsó ajtó
A kémkedés legújabb hulláma izraeli szervezetek széles körét vette célba az akadémiai szférában, a mérnöki tudományokban, a helyi önkormányzatokban, a gyártásban, a technológiában, a közlekedésben és a közművekben. Az iráni államhoz kötődő szereplőknek tulajdonított művelet egy korábban ismeretlen, MuddyViper nevű hátsó ajtót vezetett be, amely a csoport taktikájának újabb eszkalációját jelezte. Egy egyiptomi székhelyű technológiai cég is a célkeresztbe került, a kampány 2024 szeptember végétől 2025 március közepéig tartott.
Tartalomjegyzék
Ismerős ellenfél bővülő képességekkel
A támadásokat a MuddyWaterhez, más néven Mango Sandstormhoz, Static Kittenhez vagy TA450-hez kötik, egy olyan csoporthoz, amelyről úgy tartják, hogy az iráni hírszerzési és biztonsági minisztérium alá tartozik. A legalább 2017 óta aktív MuddyWater hosszú múltra tekint vissza kémkedés és romboló akciók terén, beleértve a korábbi POWERSTATS kampányokat és a PowGoop zsarolóvírus használatát a Quicksand hadművelet során.
A közzétett eredmények szerint a csoport továbbra is támadja az izraeli célpontokat, amelyek a helyi hatóságokat, a légi közlekedést, a turizmust, az egészségügyi szolgáltatásokat, a távközlési hálózatokat, az IT-szolgáltatókat és a kkv-kat érintik.
Fejlődő kézikönyvük: a társadalmi manipulációtól a VPN-gyengeségek kihasználásáig
A fenyegető szereplő jellemzően célzott adathalász e-mailekre és ismert VPN-sebezhetőségek kihasználására támaszkodik a bejutás érdekében. Korábban ezek a behatolások legitim távoli adminisztrációs eszközök telepítésével jártak – ami a MuddyWater működésének egyik védjegye. 2024 májusa óta azonban az adathalász e-mailjeik elkezdtek egy BugSleep (más néven MuddyRot) néven ismert rejtett hátsó ajtót is kibocsátani, ami a személyre szabottabb eszközök felé való elmozdulást mutatja.
A csoport szélesebb arzenáljába beletartozik a Blackout, az AnchorRat, a CannonRat, a Neshta és a Sad C2 keretrendszer, amely segíti a TreasureBox és a BlackPearl RAT betöltőprogramok terjesztését.
Az adathalászat továbbra is az első lépés
A legújabb támadási hullám továbbra is PDF-mellékleteket tartalmazó rosszindulatú e-mailekkel kezdődik. Ezek a PDF-ek széles körben használt távoli eszközök, például az Atera, a Level, a PDQ és a SimpleHelp letöltési oldalaira irányítják az áldozatokat. Miután a támadók megvetették a lábukat, speciálisabb komponensek telepítésére térnek át.
Bemutatkozik Fooder és MuddyViper
Ez a kampány kiemelt szerepet kap egy Fooder nevű betöltő, amelyet a C/C++ alapú MuddyViper hátsó ajtó visszafejtésére és végrehajtására terveztek. A Fooder variánsai go-socks5 alagútkezelő segédprogramokat és a nyílt forráskódú HackBrowserData eszközt is terjesztettek, amelyek böngészési adatokat gyűjtenek számos platformról (a Safari kivételével).
Maga a MuddyViper széleskörű kontrollt biztosít, lehetővé téve az operátorok számára a rendszeradatok gyűjtését, fájlok és parancsok futtatását, adatok be- és kimenetét, valamint Windows hitelesítő adatok és böngészőinformációk ellopását. 20 beépített parancsot támogat a rejtett hozzáférés fenntartásához. Egyes Fooder-variánsok a klasszikus Snake játéknak álcázzák magukat, és a késleltetett végrehajtásra támaszkodnak az elkerülő kitérők észleléséhez, ezt a technikát először 2025 szeptemberében figyelték meg.
További, a művelet során megfigyelt eszközök
A kutatók számos, az adatmegőrzésre, a hitelesítő adatok ellopására és az adatgyűjtésre tervezett támogató segédprogram telepítését is dokumentálták:
VAXOne – Egy hátsó ajtó, amely Veeamnak, AnyDesknek, Xeroxnak vagy a OneDrive frissítőnek álcázza magát.
CE-megjegyzések – Böngészőadatok ellopására szolgáló eszköz, amelynek célja a Chrome alkalmazáshoz kötött titkosításának megkerülése a helyi állam titkosítási kulcsának ellopásával.
Blub – AC/C++ böngészőlopó, amely bejelentkezési adatokat gyűjt a Chrome-ból, Edge-ből, Firefoxból és Operából.
LP-Notes – AC/C++ hitelesítőadat-gyűjtő eszköz, amely egy hamis Windows biztonsági ablakot jelenít meg, hogy rávegye a felhasználókat a bejelentkezési adataik megadására.
Együttműködés a Lyceummal: Működési átfedés alakul ki
A nyomozás feltárta, hogy a MuddyWater tevékenysége keresztezte a Lyceum (más néven Hexane, Spirlin vagy Siamesekitten) működését, amely az OilRig (APT34) alcsoportja legalább 2018 óta aktív regionális kiberkémkedésben.
A 2025 elején azonosított incidensek során a MuddyWater valószínűleg kezdeti hozzáférés-közvetítőként működött egy izraeli gyártószervezeten belül távoli asztali eszközöket és egy testreszabott Mimikatz betöltőt telepítve. Az ellopott hitelesítő adatokat ezután valószínűleg a Lyceum használta fel a hozzáférés bővítésére és az operatív irányítás átvételére.
A növekvő működési érettség jele
Az új komponensek, különösen a Fooder betöltő és a MuddyViper hátsó ajtó bevezetése a MuddyWater technikai és működési kifinomultságának jelentős előrelépését jelzi. A csoport egyértelműen befektet a lopakodóbb adatmegőrzési mechanizmusokba, a hatékonyabb hitelesítőadat-lopásba és a mélyebb felderítő képességekbe.
A kampány rávilágít az Iránnal együttműködő kiberüzemeltetők folyamatos és bővülő fenyegetésére. Az egyedi kártevők, a lopakodó betöltők, a legitim távoli adminisztrációs eszközök és a csoportok közötti együttműködés keveréke arra utal, hogy a régió szervezeteinek fokozott készültségben kell maradniuk, és meg kell erősíteniük a védelmet az egyre összetettebb behatolási stratégiákkal szemben.
