Pintu Belakang MuddyViper
Gelombang aktiviti pengintipan baru-baru ini telah menumpukan pada rangkaian luas organisasi Israel merentas akademik, kejuruteraan, kerajaan tempatan, pembuatan, teknologi, pengangkutan dan utiliti. Operasi itu, yang dikaitkan dengan pelakon kerajaan Iran, memperkenalkan pintu belakang yang sebelum ini tidak dikenali digelar MuddyViper, menandakan peningkatan baharu dalam taktik kumpulan itu. Satu firma teknologi yang berpangkalan di Mesir turut terperangkap dalam percaturan, dengan kempen itu berlangsung dari akhir September 2024 hingga pertengahan Mac 2025.
Isi kandungan
Musuh Biasa Dengan Keupayaan Meluaskan
Serangan itu telah dikaitkan dengan MuddyWater, juga dikenali sebagai Mango Sandstorm, Static Kitten, atau TA450, sebuah kumpulan yang dinilai beroperasi di bawah Kementerian Perisikan dan Keselamatan Iran. Aktif sejak sekurang-kurangnya 2017, MuddyWater mempunyai rekod panjang tindakan pengintipan dan pemusnahan, termasuk kempen POWERSTATS terdahulu dan penggunaan perisian tebusan PowGoop semasa Operasi Quicksand.
Menurut penemuan yang diterbitkan, kumpulan itu terus menyerang sasaran Israel merangkumi pihak berkuasa tempatan, pengangkutan udara, pelancongan, perkhidmatan kesihatan, rangkaian telekomunikasi, penyedia IT dan PKS.
Buku Bermain Mereka yang Berkembang: Daripada Kejuruteraan Sosial kepada Mengeksploitasi Kelemahan VPN
Aktor ancaman biasanya bergantung pada e-mel spear-phishing dan penyalahgunaan kelemahan VPN yang diketahui untuk mendapatkan kemasukan. Dari segi sejarah, pencerobohan ini melibatkan penggunaan alat pentadbiran jauh yang sah - ciri operasi MuddyWater. Walau bagaimanapun, sejak Mei 2024, e-mel pancingan data mereka telah mula menghantar pintu belakang tersembunyi yang dikenali sebagai BugSleep (juga dipanggil MuddyRot), menunjukkan peralihan ke arah alatan yang lebih disesuaikan.
Senjata kumpulan yang lebih luas adalah luas dan termasuk Blackout, AnchorRat, CannonRat, Neshta dan rangka kerja Sad C2, yang membantu menyebarkan pemuat seperti TreasureBox dan BlackPearl RAT.
Phishing Kekal sebagai Langkah Pertama
Gelombang serangan terkini masih bermula dengan e-mel berniat jahat yang mengandungi lampiran PDF. PDF ini menunjukkan mangsa ke arah muat turun untuk alatan jauh yang digunakan secara meluas seperti Atera, Level, PDQ dan SimpleHelp. Setelah bertapak berjaya, penyerang bergerak untuk menggunakan komponen yang lebih khusus.
Memperkenalkan Fooder dan MuddyViper
Kempen ini menonjolkan pemuat bernama Fooder, dibina untuk menyahsulit dan melaksanakan pintu belakang MuddyViper berasaskan C/C++. Varian Fooder juga telah dilihat mengedarkan utiliti terowong go-socks5 dan alat HackBrowserData sumber terbuka untuk menuai data penyemak imbas daripada pelbagai platform (kecuali Safari).
MuddyViper sendiri memberikan kawalan yang luas, membolehkan pengendali mengumpulkan butiran sistem, menjalankan fail dan arahan, memindahkan data masuk dan keluar, serta mencuri bukti kelayakan Windows dan maklumat penyemak imbas. Ia menyokong 20 arahan terbina dalam untuk mengekalkan akses tersembunyi. Beberapa varian Fooder menyamar sebagai permainan Ular klasik dan bergantung pada pelaksanaan tertunda untuk mengesampingkan pengesanan, teknik yang pertama kali diperhatikan pada September 2025.
Alat Tambahan Diperhatikan dalam Operasi
Penyelidik juga mendokumentasikan penggunaan beberapa utiliti sokongan yang direka untuk kegigihan, kecurian kelayakan dan pengumpulan data:
VAXOne – Pintu belakang yang menyamar sebagai Veeam, AnyDesk, Xerox atau pengemas kini OneDrive.
Nota CE – Alat kecurian data penyemak imbas yang direka untuk memintas penyulitan terikat aplikasi Chrome dengan mencuri kunci penyulitan Negeri Setempat.
Blub – Pencuri AC/C++ yang mengumpul data log masuk daripada Chrome, Edge, Firefox dan Opera.
LP-Notes – Alat penuaian kelayakan AC/C++ yang memaparkan gesaan Windows Security yang menipu untuk menipu pengguna supaya memasukkan butiran log masuk mereka.
Kerjasama Dengan Lyceum: Pertindihan Operasi Muncul
Siasatan mendedahkan bahawa aktiviti MuddyWater bersilang dengan operasi Lyceum (juga dikenali sebagai Hexane, Spirlin, atau Siamesekitten), subkumpulan OilRig (APT34) yang aktif dalam pengintipan siber serantau sejak sekurang-kurangnya 2018.
Semasa insiden yang dikenal pasti pada awal 2025, MuddyWater berkemungkinan bertindak sebagai broker akses awal dalam organisasi pembuatan Israel dengan menggunakan alatan desktop jauh dan pemuat Mimikatz yang disesuaikan. Tauliah yang dicuri kemudiannya mungkin dimanfaatkan oleh Lyceum untuk meluaskan akses dan mengambil alih kawalan operasi.
Tanda Peningkatan Kematangan Operasi
Pengenalan komponen baharu, terutamanya pemuat Fooder dan pintu belakang MuddyViper, menyerlahkan perkembangan ketara dalam kecanggihan teknikal dan operasi MuddyWater. Kumpulan itu jelas melabur dalam mekanisme kegigihan yang lebih senyap, kecurian kelayakan yang lebih cekap, dan keupayaan peninjauan yang lebih mendalam.
Kempen ini menggariskan ancaman yang berterusan dan berkembang daripada pengendali siber yang sejajar dengan Iran. Gabungan perisian hasad tersuai mereka, pemuat senyap, alatan pentadbiran jauh yang sah dan kerjasama merentas kumpulan menunjukkan bahawa organisasi di rantau ini mesti kekal dalam keadaan waspada yang tinggi dan memperkukuh pertahanan terhadap strategi pencerobohan yang semakin kompleks.
