Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare MuddyWater False Flag-ransomwareangrep

MuddyWater False Flag-ransomwareangrep

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

Den iranske statsstøttede trusselgruppen MuddyWater, også sporet under alias som Mango Sandstorm, Seedworm og Static Kitten, har blitt knyttet til en sofistikert ransomware-kampanje som etterforskere beskriver som en falskflagg-operasjon. Selv om innbruddet i utgangspunktet lignet aktivitet knyttet til en konvensjonell Ransomware-as-a-Service (RaaS)-operasjon ved bruk av Chaos ransomware-merket, avdekket dypere analyse kjennetegn som samsvarer med et målrettet statsstøttet cyberangrep forkledd som økonomisk motivert utpressing.

Operasjonen, som ble identifisert tidlig i 2026, var i stor grad avhengig av sosial manipulering gjennom Microsoft Teams. Angriperne gjennomførte svært interaktive engasjementsøkter med ofrene, og utnyttet skjermdelingsfunksjonalitet for å samle inn legitimasjon og manipulere flerfaktorautentiseringsprosesser. Etter å ha fått tilgang, forlot trusselaktørene tradisjonelle ransomware-taktikker som storskala filkryptering og fokuserte i stedet på datatyveri, snikende persistens og langvarig nettverkstilgang gjennom verktøy for fjernadministrasjon.

Nettkriminalitetshandelsverktøy brukt til å skjule statlige operasjoner

Forskere mener kampanjen gjenspeiler en bevisst innsats fra MuddyWater for å skjule tilskrivning ved å ta i bruk verktøy og teknikker som vanligvis forbindes med nettkriminelle økosystemer. Gruppen har i økende grad integrert kommersielt tilgjengelig underjordisk skadelig programvare og rammeverk for fjerntilgang i driften sin, inkludert verktøy som CastleRAT og Tsundere.

Denne taktikken samsvarer med tidligere MuddyWater-kampanjer som blandet spionasje og destruktiv aktivitet med ransomware-lignende operasjoner. I 2020 målrettet gruppen store israelske organisasjoner som brukte PowGoop-lasteren for å distribuere en destruktiv variant av Thanos ransomware. I 2023 koblet Microsoft gruppen til DEV-1084, en aktør tilknyttet DarkBit-personaen, under angrep kamuflert som ransomware-hendelser. Sent i 2025 ble iransk-tilknyttede operatører også mistenkt for å bruke Qilin ransomware mot et israelsk statlig sykehus.

Sikkerhetsforskere konkluderte med at den siste kampanjen sannsynligvis involverte iransk-tilknyttede operatører som opererte gjennom etablerte nettkriminelle infrastrukturer samtidig som de forfulgte bredere geopolitiske mål. Bruken av Qilin og deltakelse i økosystemer tilknyttet ransomware ga sannsynligvis operativ dekning, plausibel benektelse og tilgang til modne angrepskapasiteter, samtidig som det hjalp angriperne med å unngå økt israelsk defensiv overvåking.

Kaos RaaS: Et voksende utpressingsøkosystem

Chaos oppsto tidlig i 2025 som en ransomware-as-a-Service-operasjon kjent for aggressive dobbelutpressingstaktikker. Gruppen promoterte sitt tilknyttede program på undergrunnsfora for nettkriminalitet som RAMP og RehubCom og utvidet raskt sin operative rekkevidde.

Kaoskampanjer kombinerer ofte e-postoversvømmelse, stemmefisking og Microsoft Teams-etterligningsangrep der trusselaktører utgir seg for å være IT-støttepersonell. Ofrene manipuleres til å installere applikasjoner for ekstern tilgang som Microsoft Quick Assist, slik at angripere kan etablere fotfeste i bedriftsmiljøer før de eskalerer privilegier, beveger seg sidelengs og distribuerer løsepengevirusnyttelaster.

Gruppen har også demonstrert stadig mer aggressive utpressingsmodeller:

  • Dobbel utpressing gjennom datatyveri og krav om løsepenger
  • Trippel utpressing som involverer trusler om distribuerte tjenestenektangrep (DDoS)
  • Firedobbel utpressingstaktikk som inkluderer trusler om å kontakte kunder, partnere eller konkurrenter for å intensivere presset på ofrene

Innen mars 2026 hadde Chaos krevd 36 ofre på sin lekkasjeplattform, og de fleste organisasjonene var lokalisert i USA. Bygg-, produksjons- og forretningstjenestesektorene virket blant de mest utsatte næringene.

Inntrengningens anatomi

Under det undersøkte innbruddet startet angriperne eksterne Microsoft Teams-samtaler med ansatte for å oppnå tillit og oppmuntre til skjermdeling. Kompromitterte brukerkontoer ble deretter utnyttet til rekognosering, persistens, lateral bevegelse og datautvinning.

Mens angriperne var koblet til offerets systemer, utførte de rekognoseringskommandoer, fikk tilgang til VPN-relaterte filer og instruerte brukere til å manuelt legge inn påloggingsinformasjon i lokalt opprettede tekstdokumenter. I flere tilfeller ble AnyDesk installert for å styrke mulighetene for ekstern tilgang.

Trusselaktørene brukte i tillegg Remote Desktop Protocol (RDP) for å hente en kjørbar fil kalt «ms_upd.exe» fra den eksterne serveradressen 172.86.126.208 ved hjelp av curl-verktøyet. Etter oppstart startet skadevaren en flertrinns infeksjonskjede designet for å distribuere ytterligere skadelige komponenter og etablere vedvarende kommando- og kontrollkommunikasjon.

Skadevarearsenalet bak kampanjen

Infeksjonskjeden inneholdt flere forskjellige skadevarekomponenter som samarbeidet for å opprettholde varighet og utføre eksterne kommandoer:

  • 'ms_upd.exe' (Stagecomp) samlet systeminformasjon og kontaktet en kommando- og kontrollserver for å laste ned sekundære nyttelaster, inkludert 'game.exe', 'WebView2Loader.dll' og 'visualwincomp.txt'.
  • 'game.exe' (Darkcomp) fungerte som en tilpasset trojaner for fjerntilgang som utga seg for å være et legitimt Microsoft WebView2-program basert på det offisielle WebView2APISample-prosjektet.
  • 'WebView2Loader.dll' fungerte som en legitim avhengighet som kreves for Microsoft Edge WebView2-funksjonalitet
  • «visualwincomp.txt» inneholdt krypterte konfigurasjonsdata som ble brukt av RAT for å identifisere kommando- og kontrollinfrastruktur

Når den var aktiv, kommuniserte trojaneren for fjerntilgang kontinuerlig med kommandoserveren hvert 60. sekund, slik at operatører kunne kjøre PowerShell-skript, kjøre systemkommandoer, manipulere filer og starte interaktive kommandolinjeøkter.

Bevis som knytter operasjonen til MuddyWater

Tilskrivelsen til MuddyWater ble styrket gjennom oppdagelsen av et kodesigneringssertifikat tilknyttet «Donald Gay», som ble brukt til å signere skadevareeksemplet «ms_upd.exe». Det samme sertifikatet hadde tidligere blitt koblet til MuddyWater-skadevare, inkludert en CastleLoader-nedlastingsvariant kjent som Fakeset.

Forskerne bemerket at operasjonen viste en betydelig konvergens mellom statsstøttet spionasjeaktivitet og nettkriminelle operasjonelle metoder. Integreringen av merkevarebygging av løsepengevirus, utpressingsforhandlinger og kommersielt tilgjengelige rammeverk for skadelig programvare kompliserte tilskrivningsarbeidet og avledet defensiv oppmerksomhet mot umiddelbare løsepengeresponsaktiviteter i stedet for langsiktige vedvarende mekanismer etablert gjennom verktøy for fjerntilgang.

Hvorfor angrepet skilte seg ut

Et av de mest uvanlige aspektene ved kampanjen var det tilsynelatende fraværet av utbredt filkryptering til tross for bruken av Chaos ransomware-artefakter. Dette avviket fra standard ransomware-oppførsel tyder sterkt på at ransomware-komponenten primært fungerte som kamuflasje eller operativ feilretning snarere enn det primære oppdragsmålet.

Kampanjen fremhever også en økende trend blant iranske trusselaktører til å innlemme verktøy for nettkriminalitet i statsstyrte operasjoner. Ved å utnytte eksisterende underjordiske infrastrukturer og økosystemer for skadelig programvare, får grupper som MuddyWater større operasjonell fleksibilitet, reduserer interne utviklingskostnader og kompliserer attribueringsarbeidet betydelig for både forsvarere og etterretningsanalytikere.

Trender

Mest sett

Laster inn...