„MuddyViper“ galinės durys
Pastaruoju metu šnipinėjimo banga apėmė įvairias Izraelio organizacijas akademinėje, inžinerijos, vietos valdžios, gamybos, technologijų, transporto ir komunalinių paslaugų srityse. Operacijos, priskiriamos Irano valstybei pavaldiems veikėjams, metu buvo įdiegta anksčiau nežinoma slapta sistema, pavadinta „MuddyViper“, signalizuojant apie naują grupės taktikos eskalaciją. Į taikinį taip pat pateko viena Egipte įsikūrusi technologijų įmonė, kurios kampanija vyko nuo 2024 m. rugsėjo pabaigos iki 2025 m. kovo vidurio.
Turinys
Pažįstamas priešininkas su besiplečiančiomis galimybėmis
Išpuoliai buvo siejami su „MuddyWater“, dar žinoma kaip „Mango Sandstorm“, „Static Kitten“ arba TA450 – grupuote, kuri, kaip manoma, veikia pavaldi Irano žvalgybos ir saugumo ministerijai. „MuddyWater“, veikianti mažiausiai nuo 2017 m., turi ilgą šnipinėjimo ir destruktyvių veiksmų istoriją, įskaitant ankstesnes „POWERSTATS“ kampanijas ir „PowGoop“ išpirkos reikalaujančios programinės įrangos naudojimą operacijos „Quicksand“ metu.
Remiantis paskelbtomis išvadomis, grupuotė toliau atakuoja Izraelio taikinius, apimančius vietos valdžios institucijas, oro transportą, turizmą, sveikatos priežiūros paslaugas, telekomunikacijų tinklus, IT paslaugų teikėjus ir MVĮ.
Jų besivystantis veiksmų planas: nuo socialinės inžinerijos iki VPN silpnybių išnaudojimo
Grėsmių vykdytojas paprastai naudoja tikslinius sukčiavimo el. laiškus ir piktnaudžiauja žinomais VPN pažeidžiamumais, kad patektų į sistemas. Istoriškai šie įsilaužimai apimdavo teisėtų nuotolinio administravimo įrankių diegimą – tai būdinga „MuddyWater“ veiklai. Tačiau nuo 2024 m. gegužės mėn. jų sukčiavimo el. laiškai pradėjo teikti slaptas galines duris, žinomas kaip „BugSleep“ (dar vadinamas „MuddyRot“), o tai rodo poslinkį link labiau pritaikytų įrankių.
Platesnis grupės arsenalas yra platus ir apima „Blackout“, „AnchorRat“, „CannonRat“, „Neshta“ ir „Sad C2“ sistemą, kuri padeda skleisti tokius įkroviklius kaip „TreasureBox“ ir „BlackPearl RAT“.
Sukčiavimas apsimetant išlieka pirmuoju žingsniu
Naujausia atakų banga vis dar prasideda kenkėjiškais el. laiškais su PDF priedais. Šie PDF failai nukreipia aukas į plačiai naudojamų nuotolinių įrankių, tokių kaip „Atera“, „Level“, PDQ ir „SimpleHelp“, atsisiuntimus. Įgiję pozicijas, užpuolikai pradeda diegti labiau specializuotus komponentus.
Pristatome „Fooder“ ir „MuddyViper“
Šioje kampanijoje ryškiai išsiskiria įkrovos programa „Fooder“, sukurta iššifruoti ir vykdyti C/C++ pagrindu veikiančią „MuddyViper“ galines duris. Taip pat pastebėta, kad „Fooder“ variantai platina „go-socks5“ tuneliavimo programas ir atvirojo kodo įrankį „HackBrowserData“, skirtą naršyklės duomenims rinkti iš daugybės platformų (išskyrus „Safari“).
Pats „MuddyViper“ suteikia plačią kontrolę, leisdamas operatoriams rinkti sistemos informaciją, vykdyti failus ir komandas, perkelti duomenis į ir iš sistemos bei vogti „Windows“ kredencialus ir naršyklės informaciją. Jis palaiko 20 integruotų komandų, skirtų paslėptai prieigai palaikyti. Kai kurie „Fooder“ variantai maskuojasi kaip klasikinis „Snake“ žaidimas ir pasikliauja uždelstu vykdymu, kad aptiktų žingsnį į šoną – technika, pirmą kartą pastebėta 2025 m. rugsėjį.
Papildomi įrankiai, pastebėti operacijos metu
Tyrėjai taip pat dokumentavo kelių pagalbinių programų, skirtų duomenų išsaugojimui, kredencialų vagystei ir duomenų rinkimui, diegimą:
VAXOne – slapta programa, apsimetanti „Veeam“, „AnyDesk“, „Xerox“ arba „OneDrive“ atnaujinimo programa.
CE pastabos – naršyklės duomenų vagystės įrankis, skirtas apeiti „Chrome“ programėlės šifravimą, pavogiant vietinės būsenos šifravimo raktą.
„Blub“ – AC/C++ vagis, renkantis prisijungimo duomenis iš „Chrome“, „Edge“, „Firefox“ ir „Opera“.
LP-Notes – AC/C++ prisijungimo duomenų rinkimo įrankis, rodantis apgaulingą „Windows Security“ raginimą, siekiant apgauti vartotojus ir priversti juos įvesti savo prisijungimo duomenis.
Bendradarbiavimas su Lyceum: išryškėja veiklos dubliavimas
Tyrimas atskleidė, kad „MuddyWater“ veikla sutapo su „Lyceum“ (dar žinomo kaip „Hexane“, „Spirlin“ arba „Siamesekitten“) – „OilRig“ (APT34) pogrupio, kuris nuo mažiausiai 2018 m. vykdo regioninį kibernetinį šnipinėjimą – operacijomis.
2025 m. pradžioje nustatytų incidentų metu „MuddyWater“ greičiausiai veikė kaip pradinis prieigos tarpininkas Izraelio gamybos organizacijoje, diegdama nuotolinio darbalaukio įrankius ir pritaikytą „Mimikatz“ įkėlimo programą. Pavogtus prisijungimo duomenis „Lyceum“ greičiausiai panaudojo, kad išplėstų prieigą ir perimtų veiklos kontrolę.
Didėjančios veiklos brandos ženklas
Naujų komponentų, ypač „Fooder“ įkėlimo programos ir „MuddyViper“ galinių durų, pristatymas rodo pastebimą „MuddyWater“ techninio ir operacinio sudėtingumo pažangą. Grupė akivaizdžiai investuoja į slaptesnius išsaugojimo mechanizmus, efektyvesnę kredencialų vagystę ir gilesnes žvalgybos galimybes.
Kampanija pabrėžia nuolatinę ir didėjančią grėsmę, kylančią iš su Iranu susijusių kibernetinių operatorių. Jų pritaikytų kenkėjiškų programų, slaptų įkroviklių, teisėtų nuotolinio administravimo įrankių ir tarpgrupinio bendradarbiavimo derinys rodo, kad regiono organizacijos turi išlikti padidinto budrumo ir stiprinti apsaugą nuo vis sudėtingesnių įsilaužimo strategijų.
