Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware MuddyWater False Flag zsarolóvírus támadás

MuddyWater False Flag zsarolóvírus támadás

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Az iráni állam által támogatott MuddyWater nevű fenyegetéscsoportot, amelyet olyan álneveken is nyomon követnek, mint a Mango Sandstorm, a Seedworm és a Static Kitten, egy kifinomult zsarolóvírus-kampánnyal hozták összefüggésbe, amelyet a nyomozók hamis zászlós műveletként írnak le. Bár a behatolás kezdetben a Chaos zsarolóvírus márkanév használatával végrehajtott hagyományos zsarolóvírus-szolgáltatásként (RaaS) műveletekhez kapcsolódó tevékenységre hasonlított, a mélyebb elemzés olyan jellemzőket tárt fel, amelyek összhangban vannak egy célzott, államilag támogatott, pénzügyi indíttatású zsarolásnak álcázott kibertámadással.

A 2026 elején azonosított művelet nagymértékben támaszkodott a Microsoft Teamsen keresztüli pszichológiai manipulációra. A támadók interaktív beszélgetéseket folytattak az áldozatokkal, kihasználva a képernyőmegosztási funkciókat a hitelesítő adatok beszerzésére és a többtényezős hitelesítési folyamatok manipulálására. A hozzáférés megszerzése után a fenyegető szereplők felhagytak a hagyományos zsarolóvírus-taktikák, például a nagyméretű fájltitkosítás alkalmazásával, és ehelyett az adatlopásra, a titkosított adatmegőrzésre és a távoli felügyeleti segédprogramokon keresztüli hosszú távú hálózati hozzáférésre összpontosítottak.

Kiberbűnözési kereskedelem, amelyet állami műveletek elrejtésére használnak

A kutatók úgy vélik, hogy a kampány a MuddyWater szándékos erőfeszítését tükrözi, hogy elfedje a felelősséget a kiberbűnözői ökoszisztémákkal gyakran összefüggő eszközök és technikák alkalmazásával. A csoport egyre inkább integrálta a kereskedelmi forgalomban kapható illegális rosszindulatú programokat és távoli hozzáférési keretrendszereket a működésébe, beleértve olyan eszközöket, mint a CastleRAT és a Tsundere.

Ez a taktika összhangban van a korábbi MuddyWater kampányokkal, amelyek a kémkedést és a romboló tevékenységet zsarolóvírus-szerű műveletekkel ötvözték. 2020-ban a csoport a PowGoop betöltő segítségével nagyobb izraeli szervezeteket vett célba, hogy a Thanos zsarolóvírus egy romboló változatát telepítse. 2023-ban a Microsoft a csoportot a DarkBit személyiségéhez köthető DEV-1084-hez kötötte, zsarolóvírus-incidensnek álcázott támadások során. 2025 végére Iránhoz köthető operátorokat azzal is gyanúsítottak, hogy Qilin zsarolóvírust használtak egy izraeli kormányzati kórház ellen.

Biztonsági kutatók arra a következtetésre jutottak, hogy a legutóbbi kampányban valószínűleg Iránnal kapcsolatban álló operátorok vettek részt, akik már meglévő kiberbűnözői infrastruktúrákon keresztül működtek, miközben tágabb geopolitikai célokat követtek. A Qilin használata és a zsarolóvírusokkal kapcsolatos affiliate ökoszisztémákban való részvétel valószínűleg működési fedezetet, valószínűsíthető tagadást és hozzáférést biztosított a kiforrott támadási képességekhez, miközben segített a támadóknak elkerülni a fokozott izraeli védelmi megfigyelést.

Káosz RaaS: Egy növekvő zsarolási ökoszisztéma

A Chaos 2025 elején jelent meg egy zsarolóvírus-szolgáltatásként működő szervezetként, amely agresszív kettős zsarolási taktikájáról volt ismert. A csoport olyan földalatti kiberbűnözési fórumokon népszerűsítette partnerprogramját, mint a RAMP és a RehubCom, és gyorsan kiterjesztette működési körét.

A káoszkampányok gyakran ötvözik az e-mail-elárasztást, a hangalapú adathalászatot és a Microsoft Teams megszemélyesítési támadásait, amelyek során a támadók IT-támogató személyzetnek adják ki magukat. Az áldozatokat manipulálják, hogy távoli hozzáférési alkalmazásokat, például a Microsoft Quick Assist-et telepítsenek, lehetővé téve a támadók számára, hogy megvethessék a lábukat a vállalati környezetekben, mielőtt kiterjesztenék a jogosultságaikat, laterálisan lépjenek át, és zsarolóvírus-csomagokat telepítsenek.

A csoport egyre agresszívabb zsarolási modelleket is bemutatott:

  • Dupla zsarolás adatlopás és váltságdíj követelés révén
  • Hármas zsarolás, amely elosztott szolgáltatásmegtagadási (DDoS) támadásokkal fenyeget
  • Négyszeres zsarolási taktika, amely magában foglalja az ügyfelekkel, partnerekkel vagy versenytársakkal való kapcsolatfelvétellel való fenyegetést az áldozatokra nehezedő nyomás fokozása érdekében.

2026 márciusáig a Chaos 36 áldozatot követelt kiszivárogtató platformján, a legtöbb szervezet az Egyesült Államokban működött. Az építőipar, a gyártás és az üzleti szolgáltatások szektora tűnt a leginkább célba vett iparágak között.

A behatolás anatómiája

A vizsgált behatolás során a támadók külső Microsoft Teams-beszélgetéseket kezdeményeztek az alkalmazottakkal, hogy bizalmat szerezzenek és képernyőmegosztási munkameneteket ösztönözzenek. A feltört felhasználói fiókokat ezután felderítésre, adatmegőrzésre, oldalirányú áthelyezésre és adatlopásra használták fel.

Miközben csatlakoztak az áldozat rendszereihez, a támadók felderítő parancsokat hajtottak végre, VPN-nel kapcsolatos fájlokhoz fértek hozzá, és arra utasították a felhasználókat, hogy manuálisan adjanak meg hitelesítő adatokat a helyben létrehozott szöveges dokumentumokban. Több esetben az AnyDesk-et is telepítették a távoli hozzáférési képességek megerősítése érdekében.

A fenyegető szereplők emellett a Remote Desktop Protocol (RDP) protokollt is használtak egy „ms_upd.exe” nevű futtatható fájl lekérésére a 172.86.126.208 külső szervercímről a curl segédprogram segítségével. Elindítása után a rosszindulatú program egy többlépcsős fertőzési láncot indított el, amelynek célja további rosszindulatú összetevők telepítése és állandó parancs-és-vezérlési kommunikáció létrehozása.

A kampány mögött álló kártevőarzenál

A fertőzési lánc számos különálló kártevő-összetevőt tartalmazott, amelyek együttműködve fenntartották a fertőzés perzisztenciáját és távoli parancsok végrehajtását:

  • Az „ms_upd.exe” (Stagecomp) rendszerinformációkat gyűjtött, és kapcsolatba lépett egy parancs- és vezérlőkiszolgálóval, hogy letöltse a másodlagos hasznos adatokat, beleértve a „game.exe”, a „WebView2Loader.dll” és a „visualwincomp.txt” fájlokat.
  • A „game.exe” (Darkcomp) egyéni távoli hozzáférést biztosító trójai vírusként működött, amely egy legitim Microsoft WebView2 alkalmazásnak álcázta magát, amely a hivatalos WebView2APISample projekten alapul.
  • A „WebView2Loader.dll” a Microsoft Edge WebView2 funkcióihoz szükséges legitim függőségként szolgált.
  • A „visualwincomp.txt” fájl titkosított konfigurációs adatokat tartalmazott, amelyeket a RAT a parancs- és vezérlő infrastruktúra azonosítására használt.

Aktiválás után a távoli hozzáférésű trójai 60 másodpercenként folyamatosan kommunikált a parancskiszolgálójával, lehetővé téve az operátorok számára PowerShell szkriptek végrehajtását, rendszerparancsok futtatását, fájlok kezelését és interaktív parancssori munkamenetek létrehozását.

Bizonyítékok, amelyek a MuddyWaterhez kapcsolják a műveletet

A MuddyWaterhez való kapcsolódást megerősítette egy „Donald Gay”-hez kapcsolódó kódaláíró tanúsítvány felfedezése, amelyet az „ms_upd.exe” rosszindulatú programminta aláírására használtak. Ugyanezt a tanúsítványt korábban már összefüggésbe hozták a MuddyWater rosszindulatú programmal, beleértve a Fakeset néven ismert CastleLoader letöltőváltozatot is.

A kutatók megjegyezték, hogy a művelet jelentős konvergenciát mutatott az államilag támogatott kémkedési tevékenység és a kiberbűnözői műveleti módszerek között. A zsarolóvírus-márkaépítés, a zsarolási tárgyalások és a kereskedelmi forgalomban kapható rosszindulatú szoftverek keretrendszereinek integrációja bonyolította az attribúciós erőfeszítéseket, és a védekező figyelmet az azonnali váltságdíj-válaszintézkedésekre terelte a távoli hozzáférési eszközökön keresztül létrehozott hosszú távú fennmaradási mechanizmusok helyett.

Miért tűnt ki a támadás

A kampány egyik legszokatlanabb aspektusa a széles körű fájltitkosítás látszólagos hiánya volt a Chaos zsarolóvírus-leletek használata ellenére. Ez az eltérés a szokásos zsarolóvírus-viselkedéstől erősen arra utal, hogy a zsarolóvírus-komponens elsősorban álcázásként vagy műveleti félrevezetésként szolgált, nem pedig az elsődleges küldetés céljaként.

A kampány rávilágít arra a növekvő tendenciára is az iráni fenyegető szereplők körében, hogy kiberbűnözési eszközöket építenek be az államilag irányított műveletekbe. A meglévő földalatti infrastruktúrák és rosszindulatú ökoszisztémák kihasználásával az olyan csoportok, mint a MuddyWater, nagyobb működési rugalmasságra tesznek szert, csökkentik a belső fejlesztési költségeket, és jelentősen megnehezítik a felelősség megállapítását mind a védők, mind a hírszerzési elemzők számára.

Felkapott

Legnézettebb

Betöltés...