Operacijos „Olalampo“ puolimo kampanija
Irano valstybės remiama grėsmių grupuotė „MuddyWater“, dar žinoma kaip „Earth Vetala“, „Mango Sandstorm“ ir „MUDDYCOAST“, pradėjo naują kibernetinę kampaniją, pavadintą „Operacija Olalampo“. Operacija daugiausia nukreipta prieš organizacijas ir asmenis visame Artimųjų Rytų ir Šiaurės Afrikos (MENA) regione.
Pirmą kartą aptikta 2026 m. sausio 26 d., kampanija pristato kelias naujas kenkėjiškų programų šeimas, pakartotinai panaudodama anksčiau su grupe siejamus komponentus. Saugumo tyrėjai praneša, kad ši veikla atspindi nusistovėjusių „MuddyWater“ veiklos modelių tęsinį, sustiprindama jos nuolatinį buvimą META regione (Artimieji Rytai, Turkija ir Afrika).
Turinys
Infekcijos vektoriai ir atakos grandinės
Kampanija vykdoma pagal pažįstamą įsilaužimo metodiką, atitinkančią ankstesnes „MuddyWater“ operacijas. Pradinė prieiga paprastai prasideda nuo tikslinių sukčiavimo el. laiškų su kenkėjiškais „Microsoft Office“ priedais. Šiuose dokumentuose yra makrokomandų kodas, skirtas iššifruoti ir vykdyti naudingąją apkrovą aukos sistemoje, galiausiai suteikiant užpuolikams nuotolinį valdymą.
Pastebėta keletas atakos variantų:
- Kenkėjiškas „Microsoft Excel“ dokumentas ragina aukas įjungti makrokomandas, taip suaktyvinant „Rust“ pagrindu sukurtą „backdoor CHAR“ virusą.
- Susijęs variantas pateikia „GhostFetch“ atsisiuntimo programą, kuri vėliau įdiegia „GhostBackDoor“ implantą.
- Trečia užkrato grandinė naudoja teminius masalus, tokius kaip lėktuvų bilietai ar veiklos ataskaitos, užuot apsimetinėjus Artimųjų Rytų energetikos ir jūrų paslaugų įmone, HTTP_VIP atsisiuntimo programai platinti. Šis variantas galiausiai įdiegia „AnyDesk“ nuotolinio darbalaukio programą, kad būtų galima nuolat pasiekti duomenis.
Be to, pastebėta, kad grupė išnaudoja naujai atskleistas interneto serverių pažeidžiamybes, kad gautų pradinę prieigą prie tikslinių aplinkų.
Kenkėjiškų programų arsenalas: individualūs įrankiai ir moduliniai implantai
Operacija „Olalampo“ remiasi struktūrizuota, daugiapakopė kenkėjiškų programų ekosistema, sukurta žvalgybai, atkaklumui ir nuotoliniam valdymui. Pagrindinės šioje kampanijoje nustatytos priemonės:
„GhostFetch“ – pirmojo etapo atsisiuntimo programa, kuri profiliuoja pažeistas sistemas, tikrindama pelės judesius ir ekrano skiriamąją gebą, aptikdama derinimo įrankius, identifikuodama virtualios mašinos artefaktus ir tikrindama, ar nėra antivirusinės programinės įrangos. Ji nuskaito ir vykdo antrinius naudinguosius duomenis tiesiai atmintyje.
„GhostBackDoor“ – antrojo etapo implantas, kurį teikia „GhostFetch“. Jis įgalina interaktyvią prieigą prie apvalkalo, failų skaitymo / rašymo operacijas ir gali iš naujo inicijuoti „GhostFetch“.
HTTP_VIP – vietinė atsisiuntimo programa, atliekanti sistemos žvalgybą ir prisijungianti prie išorinio domeno „codefusiontech(dot)org“ autentifikavimui. Ji diegia „AnyDesk“ iš komandų ir valdymo (C2) serverio. Naujesnė versija pagerina funkcionalumą, apimantį aukų duomenų rinkimą, interaktyvų apvalkalo vykdymą, failų perdavimą, iškarpinės fiksavimą ir konfigūruojamus švyturių intervalus.
CHAR – „Rust“ pagrindu sukurta užpakalinė durų programa, valdoma per „Telegram“ botą, identifikuotą kaip „Olalampo“ (vartotojo vardas: stager_51_bot). Ji palaiko katalogų naršymą ir cmd.exe arba „PowerShell“ komandų vykdymą.
Su CHAR susieta „PowerShell“ funkcija leidžia vykdyti atvirkštinį SOCKS5 tarpinį serverį arba papildomą galinį langą, pavadintą „Kalim“. Ji taip pat palengvina naršyklės duomenų išgavimą ir paleidžia vykdomuosius failus, pažymėtus „sh.exe“ ir „gshdoc_release_X64_GUI.exe“.
Dirbtinio intelekto pagalba kuriamas ir kodo sutapimas
Techninė CHAR šaltinio kodo analizė atskleidė dirbtinio intelekto padedamo kūrimo požymius. Jaustukų buvimas derinimo eilutėse atitinka ankstesnius „Google“ atskleistus rezultatus, kuriuose teigiama, kad „MuddyWater“ eksperimentavo su generatyviniais dirbtinio intelekto įrankiais, siekdama pagerinti kenkėjiškų programų kūrimą, ypač failų perdavimo ir nuotolinio vykdymo galimybes.
Tolesnė analizė rodo struktūrinius ir aplinkos panašumus tarp CHAR ir „Rust“ pagrindu sukurtos kenkėjiškos programos „BlackBeard“, dar žinomos kaip „Archer RAT“ arba „RUSTRIC“, kurią grupė anksčiau naudojo prieš Artimųjų Rytų subjektus. Šie sutapimai rodo bendrus kūrimo etapus ir iteracinį įrankių tobulinimą.
Pajėgumų ir strateginių ketinimų plėtra
„MuddyWater“ išlieka nuolatiniu ir besivystančiu grėsmių veikėju META regione. Dirbtinio intelekto pagrindu sukurtos programinės įrangos integravimas, nuolatinis individualiai pritaikytos kenkėjiškos programinės įrangos tobulinimas, viešųjų pažeidžiamumų išnaudojimas ir C2 infrastruktūros diversifikavimas kartu rodo ilgalaikį įsipareigojimą plėsti veiklą.
Operacija „Olalampo“ pabrėžia nuolatinį grupės dėmesį MENA regiono taikiniams ir atkreipia dėmesį į vis sudėtingesnius jos įsilaužimo pajėgumus. Regione veikiančios organizacijos turėtų išlaikyti padidintą budrumą, vykdyti makroapribojimus, stebėti siunčiamus vadovavimo ir kontrolės (C2) ryšius ir teikti pirmenybę savalaikiam pažeidžiamumų šalinimui, kad sumažintų šio besikeičiančio grėsmių kraštovaizdžio poveikį.
