MuddyWater viltus karoga izspiedējvīrusa uzbrukums
Irānas valsts sponsorētā apdraudējumu grupa MuddyWater, kas tiek izsekota arī ar tādiem pseidonīmiem kā Mango Sandstorm, Seedworm un Static Kitten, ir saistīta ar sarežģītu izspiedējvīrusu kampaņu, ko izmeklētāji raksturo kā viltus karoga operāciju. Lai gan sākotnēji ielaušanās atgādināja darbību, kas saistīta ar tradicionālu izspiedējvīrusu kā pakalpojumu (RaaS) operāciju, izmantojot izspiedējvīrusa zīmolu Chaos, padziļināta analīze atklāja pazīmes, kas atbilst mērķtiecīgam valsts sponsorētam kiberuzbrukumam, kas maskēts kā finansiāli motivēta izspiešana.
Operācija, kas tika identificēta 2026. gada sākumā, lielā mērā balstījās uz sociālo inženieriju, izmantojot Microsoft Teams. Uzbrucēji veica ļoti interaktīvas iesaistes sesijas ar upuriem, izmantojot ekrāna koplietošanas funkcionalitāti, lai iegūtu akreditācijas datus un manipulētu ar daudzfaktoru autentifikācijas procesiem. Pēc piekļuves iegūšanas apdraudējumu izpildītāji atteicās no tradicionālajām izspiedējvīrusu taktikām, piemēram, liela mēroga failu šifrēšanas, un tā vietā koncentrējās uz datu zādzībām, slepenu datu saglabāšanu un ilgtermiņa piekļuvi tīklam, izmantojot attālās pārvaldības utilītas.
Satura rādītājs
Kibernoziegumu tirdzniecības metodes, ko izmanto valsts operāciju slēpšanai
Pētnieki uzskata, ka kampaņa atspoguļo MuddyWater apzinātus centienus slēpt vainas avotus, izmantojot rīkus un metodes, kas parasti tiek saistītas ar kibernoziedznieku ekosistēmām. Grupa savās darbībās arvien vairāk integrē komerciāli pieejamas pazemes ļaunprogrammatūras un attālās piekļuves sistēmas, tostarp tādus rīkus kā CastleRAT un Tsundere.
Šī taktika saskan ar iepriekšējām MuddyWater kampaņām, kurās spiegošana un destruktīvas darbības tika apvienotas ar izspiedējvīrusu stila operācijām. 2020. gadā grupa, izmantojot PowGoop ielādētāju, uzbruka lielām Izraēlas organizācijām, lai izvietotu destruktīvu Thanos izspiedējvīrusa variantu. 2023. gadā Microsoft saistīja grupu ar DEV-1084, dalībnieku, kas saistīts ar DarkBit personu, uzbrukumu laikā, kas maskēti kā izspiedējvīrusu incidenti. Līdz 2025. gada beigām tika turēti aizdomās arī par ar Irānu saistītiem operatoriem, kas izmantoti Qilin izspiedējvīrusa veidā pret Izraēlas valdības slimnīcu.
Drošības pētnieki secināja, ka jaunākajā kampaņā, visticamāk, bija iesaistīti ar Irānu saistīti operatori, kas darbojās, izmantojot izveidotas kibernoziedznieku infrastruktūras, vienlaikus tiecoties pēc plašākiem ģeopolitiskiem mērķiem. Qilin izmantošana un dalība izspiedējvīrusu saistīto ekosistēmu sistēmās, visticamāk, nodrošināja operatīvu aizsegu, ticamu noliedzamību un piekļuvi nobriedušām uzbrukuma spējām, vienlaikus palīdzot uzbrucējiem izvairīties no pastiprinātas Izraēlas aizsardzības uzraudzības.
Haoss RaaS: augoša izspiešanas ekosistēma
Grupa “Chaos” parādījās 2025. gada sākumā kā izspiedējvīrusu operācija, kas pazīstama ar agresīvu dubultās izspiešanas taktiku. Grupa reklamēja savu sadarbības programmu pagrīdes kibernoziegumu forumos, piemēram, RAMP un RehubCom, un strauji paplašināja savu darbības tvērumu.
Haosa kampaņas bieži apvieno e-pasta pārsūtīšanu, balss pikšķerēšanu un Microsoft Teams personības atdarināšanas uzbrukumus, kuros apdraudējuma izraisītāji izliekas par IT atbalsta personālu. Cietušie tiek manipulēti, lai tie instalētu attālās piekļuves lietojumprogrammas, piemēram, Microsoft Quick Assist, ļaujot uzbrucējiem nostiprināties korporatīvajā vidē, pirms palielināt privilēģijas, pārvietoties horizontāli un izvietot izspiedējvīrusa vērtumus.
Grupa ir demonstrējusi arī arvien agresīvākus izspiešanas modeļus:
- Divkārša izspiešana, izmantojot datu zādzības un izpirkuma prasības
- Trīskārša izspiešana, kas saistīta ar izkliedētu pakalpojuma atteikuma (DDoS) uzbrukumu draudiem
- Četrkārša izspiešanas taktika, kas ietver draudus sazināties ar klientiem, partneriem vai konkurentiem, lai pastiprinātu spiedienu uz upuriem
Līdz 2026. gada martam Chaos savā informācijas nopludināšanas platformā bija pieprasījis 36 upurus, un lielākā daļa organizāciju atradās Amerikas Savienotajās Valstīs. Būvniecības, ražošanas un uzņēmējdarbības pakalpojumu sektori šķita starp visvairāk uzbruktajām nozarēm.
Ielaušanās anatomija
Izmeklētās ielaušanās laikā uzbrucēji uzsāka ārējas Microsoft Teams sarunas ar darbiniekiem, lai iegūtu uzticību un veicinātu ekrāna koplietošanas sesijas. Pēc tam apdraudēti lietotāju konti tika izmantoti izlūkošanai, datu noturībai, sānu pārvietošanai un datu noplūdei.
Atrodoties savienojumā ar upuru sistēmām, uzbrucēji izpildīja izlūkošanas komandas, piekļuva ar VPN saistītiem failiem un norādīja lietotājiem manuāli ievadīt akreditācijas datus lokāli izveidotos teksta dokumentos. Vairākos gadījumos tika instalēta programma AnyDesk, lai stiprinātu attālās piekļuves iespējas.
Draudu izpildītāji papildus izmantoja attālās darbvirsmas protokolu (RDP), lai ar utilītu curl izgūtu izpildāmo failu ar nosaukumu “ms_upd.exe” no ārējā servera adreses 172.86.126.208. Pēc palaišanas ļaunprogrammatūra uzsāka daudzpakāpju inficēšanas ķēdi, kas paredzēta papildu ļaunprātīgu komponentu izvietošanai un pastāvīgas komandu un vadības saziņas izveidei.
Kampaņas aizsācējs ir ļaunprogrammatūras arsenāls
Infekcijas ķēdē bija iekļauti vairāki atšķirīgi ļaunprogrammatūras komponenti, kas darbojās kopā, lai saglabātu noturību un izpildītu attālinātas komandas:
- “ms_upd.exe” (Stagecomp) apkopoja sistēmas informāciju un sazinājās ar komandu un vadības serveri, lai lejupielādētu sekundāros vērtumus, tostarp “game.exe”, “WebView2Loader.dll” un “visualwincomp.txt”.
- “game.exe” (Darkcomp) darbojās kā pielāgots attālās piekļuves Trojas zirgs, kas maskējās kā likumīga Microsoft WebView2 lietojumprogramma, kuras pamatā ir oficiālais WebView2APISample projekts.
- “WebView2Loader.dll” kalpoja kā likumīga atkarība, kas nepieciešama Microsoft Edge WebView2 funkcionalitātei
- “visualwincomp.txt” saturēja šifrētus konfigurācijas datus, ko RAT izmantoja, lai identificētu komandu un vadības infrastruktūru.
Kad attālās piekļuves Trojas zirgs bija aktīvs, tas nepārtraukti sazinājās ar savu komandu serveri ik pēc 60 sekundēm, ļaujot operatoriem izpildīt PowerShell skriptus, palaist sistēmas komandas, manipulēt ar failiem un izveidot interaktīvas komandrindas sesijas.
Pierādījumi, kas saista operāciju ar MuddyWater
Piedēvēšana MuddyWater tika pastiprināta, atklājot ar “Donald Gay” saistītu koda parakstīšanas sertifikātu, kas tika izmantots, lai parakstītu ļaunprogrammatūras paraugu “ms_upd.exe”. Tas pats sertifikāts iepriekš bija saistīts ar MuddyWater ļaunprogrammatūru, tostarp CastleLoader lejupielādētāja variantu, kas pazīstams kā Fakeset.
Pētnieki atzīmēja, ka operācija demonstrēja ievērojamu konverģenci starp valsts sponsorētu spiegošanas darbību un kibernoziedznieku operatīvajām metodēm. Izspiedējvīrusu zīmolu veidošanas, izspiešanas sarunu un komerciāli pieejamu ļaunprogrammatūras sistēmu integrācija sarežģīja attiecināšanas centienus un novirzīja aizsardzības uzmanību uz tūlītējām izpirkuma pieprasījuma reaģēšanas darbībām, nevis ilgtermiņa noturības mehānismiem, kas izveidoti, izmantojot attālās piekļuves rīkus.
Kāpēc uzbrukums izcēlās
Viens no neparastākajiem kampaņas aspektiem bija acīmredzamais plašas failu šifrēšanas trūkums, neskatoties uz Chaos izspiedējvīrusa artefaktu izmantošanu. Šī novirze no standarta izspiedējvīrusa darbības stingri norāda, ka izspiedējvīrusa komponents galvenokārt darbojās kā maskēšanās vai operatīva maldināšana, nevis galvenais misijas mērķis.
Kampaņa arī uzsver pieaugošo tendenci Irānas apdraudējumu apkarošanas dalībnieku vidū iekļaut kibernoziegumu rīkus valsts vadītās operācijās. Izmantojot esošās pazemes infrastruktūras un ļaunprogrammatūras ekosistēmas, tādas grupas kā MuddyWater iegūst lielāku operatīvo elastību, samazina iekšējās izstrādes izmaksas un ievērojami sarežģī gan aizstāvju, gan izlūkošanas analītiķu piedēvēšanas centienus.
