Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Kempen Serangan Operasi Olalampo

Kempen Serangan Operasi Olalampo

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), perisian hasad
Terjemahkan ke

Kumpulan ancaman yang bersekutu dengan negara Iran, MuddyWater, yang juga dikenali sebagai Earth Vetala, Mango Sandstorm dan MUDDYCOAST, telah melancarkan kempen siber baharu yang digelar Operasi Olalampo. Operasi ini terutamanya menyasarkan organisasi dan individu di seluruh rantau Timur Tengah dan Afrika Utara (MENA).

Pertama kali dikesan pada 26 Januari 2026, kempen ini memperkenalkan pelbagai keluarga perisian hasad baharu sambil menggunakan semula komponen yang sebelum ini dikaitkan dengan kumpulan tersebut. Penyelidik keselamatan melaporkan bahawa aktiviti tersebut mencerminkan kesinambungan corak operasi MuddyWater yang telah ditetapkan, mengukuhkan kehadirannya yang berterusan di seluruh rantau META (Timur Tengah, Turki dan Afrika).

Vektor Jangkitan dan Rantai Serangan

Kempen ini mengikuti metodologi pencerobohan yang biasa selaras dengan operasi MuddyWater terdahulu. Akses awal biasanya bermula dengan e-mel spear-phishing yang mengandungi lampiran Microsoft Office yang berniat jahat. Dokumen-dokumen ini membenamkan kod makro yang direka untuk menyahkod dan melaksanakan muatan pada sistem mangsa, akhirnya memberikan kawalan jauh kepada penyerang.

Beberapa variasi serangan telah diperhatikan:

  • Dokumen Microsoft Excel yang berniat jahat meminta mangsa untuk mendayakan makro, mencetuskan penggunaan CHAR pintu belakang berasaskan Rust.
  • Varian berkaitan menyediakan pemuat turun GhostFetch, yang seterusnya memasang implan GhostBackDoor.
  • Rantaian jangkitan ketiga menggunakan gewang bertema seperti tiket penerbangan atau laporan operasi, dan bukannya menyamar sebagai syarikat perkhidmatan tenaga dan marin Timur Tengah, untuk mengedarkan pemuat turun HTTP_VIP. Varian ini akhirnya memasang aplikasi desktop jauh AnyDesk untuk akses berterusan.

Di samping itu, kumpulan itu telah diperhatikan mengeksploitasi kelemahan yang baru didedahkan dalam pelayan yang menghadap internet untuk mendapatkan akses awal ke persekitaran yang disasarkan.

Arsenal Perisian Hasad: Peralatan Tersuai dan Implan Modular

Operasi Olalampo bergantung pada ekosistem perisian hasad berbilang peringkat yang berstruktur yang direka untuk peninjauan, kegigihan dan kawalan jauh. Alat utama yang dikenal pasti dalam kempen ini termasuk:

GhostFetch – Pemuat turun peringkat pertama yang memprofilkan sistem yang terjejas dengan mengesahkan pergerakan tetikus dan resolusi skrin, mengesan alat penyahpepijatan, mengenal pasti artifak mesin maya dan menyemak perisian antivirus. Ia mengambil dan melaksanakan muatan sekunder secara langsung dalam memori.

GhostBackDoor – Implan peringkat kedua yang dihantar oleh GhostFetch. Ia membolehkan akses shell interaktif, operasi baca/tulis fail dan boleh memulakan semula GhostFetch.

HTTP_VIP – Pemuat turun asli yang melakukan peninjauan sistem dan bersambung ke domain luaran "codefusiontech(dot)org" untuk pengesahan. Ia menggunakan AnyDesk daripada pelayan arahan dan kawalan (C2). Versi yang lebih baharu mempertingkatkan fungsi dengan pengumpulan data mangsa, pelaksanaan shell interaktif, pemindahan fail, penangkapan papan klip dan selang isyarat yang boleh dikonfigurasikan.

CHAR – Pintu belakang berasaskan Rust yang dikawal melalui bot Telegram yang dikenal pasti sebagai 'Olalampo' (nama pengguna: stager_51_bot). Ia menyokong navigasi direktori dan pelaksanaan arahan cmd.exe atau PowerShell.

Fungsi PowerShell yang berkaitan dengan CHAR membolehkan pelaksanaan proksi songsang SOCKS5 atau pintu belakang tambahan bernama Kalim. Ia juga memudahkan pengekstrakan data pelayar dan melancarkan fail boleh laku berlabel 'sh.exe' dan 'gshdoc_release_X64_GUI.exe.'

Pembangunan Berbantukan AI dan Pertindihan Kod

Analisis teknikal kod sumber CHAR mendedahkan petunjuk pembangunan berbantukan kecerdasan buatan. Kehadiran emoji dalam rentetan debug sejajar dengan penemuan terdahulu yang didedahkan oleh Google, yang melaporkan bahawa MuddyWater telah bereksperimen dengan alat AI generatif untuk meningkatkan pembangunan perisian hasad, terutamanya untuk pemindahan fail dan keupayaan pelaksanaan jarak jauh.

Analisis lanjut menunjukkan persamaan struktur dan persekitaran antara CHAR dan perisian hasad berasaskan Rust, BlackBeard, juga dikenali sebagai Archer RAT atau RUSTRIC, yang sebelum ini digunakan oleh kumpulan itu terhadap entiti Timur Tengah. Pertindihan ini mencadangkan saluran pembangunan bersama dan penambahbaikan perkakasan secara berulang.

Memperluas Keupayaan dan Niat Strategik

MuddyWater kekal sebagai pelaku ancaman yang berterusan dan berkembang dalam rantau META. Integrasi pembangunan berbantukan AI, penambahbaikan berterusan perisian hasad tersuai, eksploitasi kerentanan yang dihadapi awam dan kepelbagaian infrastruktur C2 secara kolektif menunjukkan komitmen jangka panjang terhadap pengembangan operasi.

Operasi Olalampo menggariskan fokus berterusan kumpulan itu terhadap sasaran berasaskan MENA dan menonjolkan peningkatan kecanggihan keupayaan pencerobohannya. Organisasi yang beroperasi di rantau ini harus mengekalkan kewaspadaan yang tinggi, menguatkuasakan sekatan makro, memantau komunikasi Arahan dan Kawalan (C2) keluar dan mengutamakan pemulihan kerentanan yang tepat pada masanya untuk mengurangkan pendedahan kepada landskap ancaman yang berkembang ini.

Trending

Paling banyak dilihat

Memuatkan...