MuddyViper aizmugurējās durvis
Nesenā spiegošanas aktivitāšu vilnī ir pieķerts plašs Izraēlas organizāciju loks akadēmiskajā, inženierzinātņu, vietējās pašvaldības, ražošanas, tehnoloģiju, transporta un komunālo pakalpojumu jomā. Operācija, kas tiek piedēvēta Irānas valstij piesaistītiem dalībniekiem, ieviesa iepriekš nezināmu aizmugurējo durvju sistēmu ar nosaukumu MuddyViper, kas signalizēja par jaunu grupas taktikas eskalāciju. Arī viens Ēģiptē bāzēts tehnoloģiju uzņēmums nonāca uzmanības centrā, kampaņai ilgam no 2024. gada septembra beigām līdz 2025. gada marta vidum.
Satura rādītājs
Pazīstams pretinieks ar paplašinātām spējām
Uzbrukumi ir saistīti ar MuddyWater, kas pazīstama arī kā Mango Sandstorm, Static Kitten vai TA450, grupu, kas, domājams, darbojas Irānas Izlūkošanas un drošības ministrijas pakļautībā. MuddyWater, kas darbojas vismaz kopš 2017. gada, ir ilggadēja spiegošanas un postošu darbību vēsture, tostarp agrākās POWERSTATS kampaņas un PowGoop izspiedējvīrusa izmantošana operācijas Quicksand laikā.
Saskaņā ar publicētajiem atklājumiem grupa turpina uzbrukumus Izraēlas mērķiem, tostarp vietējām varas iestādēm, gaisa transporta, tūrisma, veselības aprūpes pakalpojumu, telekomunikāciju tīklu, IT pakalpojumu sniedzēju un MVU uzņēmumiem.
Viņu mainīgā rokasgrāmata: no sociālās inženierijas līdz VPN vājību izmantošanai
Lai iekļūtu sistēmā, apdraudējumu izpildītājs parasti izmanto mērķtiecīgas pikšķerēšanas e-pastus un zināmu VPN ievainojamību ļaunprātīgu izmantošanu. Vēsturiski šie ielaušanās gadījumi ietvēra likumīgu attālās administrēšanas rīku izvietošanu, kas ir MuddyWater darbības raksturīga iezīme. Tomēr kopš 2024. gada maija viņu pikšķerēšanas e-pasti ir sākuši piegādāt slepenu aizmugurējo durvju sistēmu, kas pazīstama kā BugSleep (saukta arī par MuddyRot), kas liecina par pāreju uz pielāgotākiem rīkiem.
Grupas plašākais arsenāls ir plašs un ietver Blackout, AnchorRat, CannonRat, Neshta un Sad C2 ietvaru, kas palīdz izplatīt tādus iekrāvējus kā TreasureBox un BlackPearl RAT.
Pikšķerēšana joprojām ir pirmais solis
Jaunākais uzbrukumu vilnis joprojām sākas ar ļaunprātīgiem e-pastiem, kas satur PDF pielikumus. Šie PDF faili novirza upurus uz plaši izmantotu attālo rīku, piemēram, Atera, Level, PDQ un SimpleHelp, lejupielādēm. Kad uzbrucēji ir ieguvuši stabilu pozīciju, viņi pāriet uz specializētāku komponentu izvietošanu.
Iepazīstinām ar Fooder un MuddyViper
Šajā kampaņā ir redzams ielādētājs ar nosaukumu Fooder, kas izveidots, lai atšifrētu un izpildītu uz C/C++ balstīto MuddyViper aizmugurējo durvju rīku. Ir arī redzēts, ka Fooder varianti izplata go-socks5 tunelēšanas utilītas un atvērtā koda rīku HackBrowserData, lai apkopotu pārlūkprogrammas datus no daudzām platformām (izņemot Safari).
Pats MuddyViper nodrošina plašu kontroli, ļaujot operatoriem apkopot sistēmas informāciju, palaist failus un komandas, pārvietot datus iekšā un ārā, kā arī zagt Windows akreditācijas datus un pārlūkprogrammas informāciju. Tas atbalsta 20 iebūvētas komandas slēptas piekļuves uzturēšanai. Daži Fooder varianti maskējas kā klasiskā Snake spēle un paļaujas uz aizkavētu izpildi, lai atklātu apiešanu, — tehnika, kas pirmo reizi tika atzīmēta 2025. gada septembrī.
Papildu rīki, kas novēroti darbībā
Pētnieki dokumentēja arī vairāku atbalsta utilītu izvietošanu, kas paredzētas datu saglabāšanai, akreditācijas datu zādzībai un datu vākšanai:
VAXOne — aizmugures durvis, kas maskējas kā Veeam, AnyDesk, Xerox vai OneDrive atjauninātājs.
CE piezīmes — pārlūkprogrammas datu zādzības rīks, kas paredzēts, lai apietu Chrome lietotņu šifrēšanu, zādzot lokālās valsts šifrēšanas atslēgu.
Blub – AC/C++ zaglis, kas apkopo pieteikšanās datus no Chrome, Edge, Firefox un Opera.
LP-Notes — AC/C++ akreditācijas datu ieguves rīks, kas parāda krāpniecisku Windows drošības uzvedni, lai maldinātu lietotājus ievadīt savus pieteikšanās datus.
Sadarbība ar Lyceum: parādās darbības pārklāšanās
Izmeklēšanā atklājās, ka MuddyWater darbība krustojās ar Lyceum (pazīstama arī kā Hexane, Spirlin vai Siamesekitten) darbībām, kas ir OilRig (APT34) apakšgrupa un vismaz kopš 2018. gada ir aktīva reģionālā kiberspiegošanā.
2025. gada sākumā konstatēto incidentu laikā MuddyWater, visticamāk, darbojās kā sākotnējais piekļuves starpnieks Izraēlas ražošanas organizācijā, ieviešot attālās darbvirsmas rīkus un pielāgotu Mimikatz ielādētāju. Nozagtos piekļuves datus, visticamāk, izmantoja Lyceum, lai paplašinātu piekļuvi un pārņemtu operatīvo kontroli.
Pazīme par pieaugošu darbības briedumu
Jaunu komponentu, īpaši Fooder ielādētāja un MuddyViper aizmugurējās durvis, ieviešana uzsver ievērojamu progresu MuddyWater tehniskajā un operacionālajā sarežģītībā. Grupa nepārprotami iegulda līdzekļus slepenākos saglabāšanas mehānismos, efektīvākā akreditācijas datu zādzībā un padziļinātās izlūkošanas iespējās.
Kampaņa uzsver pastāvīgos un pieaugošos draudus no Irānas atbalstītajiem kiberoperatoriem. Viņu pielāgotās ļaunprogrammatūras, slepeno ielādētāju, likumīgu attālās administrēšanas rīku un starpgrupu sadarbības apvienojums liecina, ka reģiona organizācijām ir jāpaliek paaugstinātas modrības stāvoklī un jāpastiprina aizsardzība pret arvien sarežģītākām ielaušanās stratēģijām.
