MuddyViper ब्याकडोर

जासुसी गतिविधिको हालैको लहरले शिक्षा, इन्जिनियरिङ, स्थानीय सरकार, निर्माण, प्रविधि, यातायात र उपयोगिताहरूमा इजरायली संस्थाहरूको विस्तृत दायरामा ध्यान केन्द्रित गरेको छ। इरानी राज्य-सम्बद्ध अभिनेताहरूलाई जिम्मेवार ठहराइएको यो अपरेशनले पहिले अज्ञात ब्याकडोर डब गरिएको मड्डीभाइपर प्रस्तुत गर्‍यो, जसले समूहको रणनीतिमा नयाँ वृद्धिको संकेत गर्‍यो। इजिप्टमा आधारित एउटा प्रविधि फर्म पनि क्रसहेयरमा फसेको थियो, यो अभियान सेप्टेम्बर २०२४ को अन्त्यदेखि मार्च २०२५ को मध्यसम्म चलेको थियो।

विस्तारित क्षमताहरू भएको परिचित शत्रु

यी आक्रमणहरूलाई मड्डीवाटरसँग जोडिएको छ, जसलाई म्याङ्गो स्यान्डस्टर्म, स्ट्याटिक किटन, वा TA450 पनि भनिन्छ, यो समूह इरानको गुप्तचर तथा सुरक्षा मन्त्रालय अन्तर्गत सञ्चालन हुने अनुमान गरिएको छ। कम्तिमा २०१७ देखि सक्रिय, मड्डीवाटरसँग जासुसी र विनाशकारी कार्यहरूको लामो रेकर्ड छ, जसमा पहिलेका POWERSTATS अभियानहरू र अपरेशन क्विकस्यान्डको समयमा PowGoop ransomware को प्रयोग समावेश छ।

प्रकाशित निष्कर्षहरू अनुसार, समूहले स्थानीय अधिकारीहरू, हवाई यातायात, पर्यटन, स्वास्थ्य सेवाहरू, दूरसञ्चार नेटवर्कहरू, आईटी प्रदायकहरू, र साना तथा मझौला उद्योगहरूलाई फैलाएर इजरायली लक्ष्यहरूमा प्रहार गर्न जारी राखेको छ।

उनीहरूको विकसित प्लेबुक: सामाजिक इन्जिनियरिङदेखि VPN कमजोरीहरूको शोषणसम्म

धम्की दिने व्यक्ति सामान्यतया प्रवेश प्राप्त गर्न भाला-फिसिङ इमेलहरू र ज्ञात VPN कमजोरीहरूको दुरुपयोगमा निर्भर गर्दछ। ऐतिहासिक रूपमा, यी घुसपैठहरूमा वैध रिमोट प्रशासन उपकरणहरूको तैनाती समावेश थियो - MuddyWater को सञ्चालनको एक विशेषता। यद्यपि, मे २०२४ देखि, तिनीहरूको फिसिङ इमेलहरूले BugSleep (MuddyRot पनि भनिन्छ) भनेर चिनिने एक लुकेको ब्याकडोर डेलिभर गर्न थालेका छन्, जसले थप अनुकूलित टूलिङ तर्फ परिवर्तन देखाउँछ।

समूहको फराकिलो शस्त्रागार व्यापक छ र यसमा ब्ल्याकआउट, एन्करर्‍याट, क्याननर्‍याट, नेश्ता, र स्याड सी२ फ्रेमवर्क समावेश छ, जसले ट्रेजरबक्स र ब्ल्याकपर्ल आरएटी जस्ता लोडरहरूलाई प्रचार गर्न मद्दत गर्दछ।

फिसिङ पहिलो चरण नै रहन्छ

पछिल्लो आक्रमणको लहर अझै पनि PDF संलग्नकहरू भएका दुर्भावनापूर्ण इमेलहरूबाट सुरु हुन्छ। यी PDF हरूले पीडितहरूलाई Atera, Level, PDQ, र SimpleHelp जस्ता व्यापक रूपमा प्रयोग हुने रिमोट उपकरणहरूको डाउनलोड तर्फ संकेत गर्छन्। एक पटक पकड जमाइसकेपछि, आक्रमणकारीहरू थप विशेष कम्पोनेन्टहरू तैनाथ गर्न सर्छन्।

फूडर र मड्डीभाइपर प्रस्तुत गर्दै

यस अभियानमा प्रमुख रूपमा Fooder नामक लोडर रहेको छ, जुन C/C++-आधारित MuddyViper ब्याकडोरलाई डिक्रिप्ट र कार्यान्वयन गर्न निर्मित छ। Fooder का भेरियन्टहरूले go-socks5 टनेलिङ उपयोगिताहरू र खुला-स्रोत HackBrowserData उपकरणलाई धेरै प्लेटफर्महरूबाट ब्राउजर डेटा सङ्कलन गर्न वितरण गरेको पनि देखिएको छ (सफारी बाहेक)।

MuddyViper आफैंले व्यापक नियन्त्रण प्रदान गर्दछ, जसले अपरेटरहरूलाई प्रणाली विवरणहरू सङ्कलन गर्न, फाइलहरू र आदेशहरू चलाउन, डेटा भित्र र बाहिर सार्न, र Windows प्रमाणहरू र ब्राउजर जानकारी चोर्न सक्षम बनाउँछ। यसले लुकेको पहुँच कायम राख्न २० वटा निर्मित आदेशहरूलाई समर्थन गर्दछ। केही Fooder भेरियन्टहरूले आफूलाई क्लासिक स्नेक गेमको रूपमा भेष दिन्छन् र पत्ता लगाउन ढिलाइ भएको कार्यान्वयनमा भर पर्छन्, यो प्रविधि पहिलो पटक सेप्टेम्बर २०२५ मा उल्लेख गरिएको थियो।

सञ्चालनमा अवलोकन गरिएका थप उपकरणहरू

अनुसन्धानकर्ताहरूले दृढता, प्रमाण चोरी, र डेटा सङ्कलनका लागि डिजाइन गरिएका धेरै सहायक उपयोगिताहरूको तैनातीलाई पनि दस्तावेजीकरण गरे:

VAXOne - Veeam, AnyDesk, Xerox, वा OneDrive अपडेटरको रूपमा लुकेको ब्याकडोर।

CE-नोट्स - स्थानीय राज्य इन्क्रिप्शन कुञ्जी चोरेर क्रोमको एप-बाउन्ड इन्क्रिप्शनलाई बाइपास गर्न डिजाइन गरिएको ब्राउजर-डेटा चोरी उपकरण।

ब्लब - AC/C++ स्टिलर जसले क्रोम, एज, फायरफक्स र ओपेराबाट लगइन डेटा सङ्कलन गर्छ।

LP-Notes - AC/C++ क्रेडेन्सियल-हार्वेस्टिङ उपकरण जसले प्रयोगकर्ताहरूलाई उनीहरूको लगइन विवरणहरू प्रविष्ट गर्न छल गर्न झूटा विन्डोज सुरक्षा प्रम्प्ट प्रदर्शन गर्दछ।

लिसेयमसँगको सहकार्य: एक अपरेशनल ओभरल्याप देखा पर्‍यो

अनुसन्धानले पत्ता लगायो कि मड्डीवाटरको गतिविधि कम्तिमा २०१८ देखि क्षेत्रीय साइबर जासुसीमा सक्रिय ओइलरिग (APT34) को उपसमूह, लाइसेयम (हेक्सेन, स्पिरलिन, वा सियामेसेकिटन पनि भनिन्छ) को सञ्चालनसँग मिल्छ।

२०२५ को सुरुवातमा पहिचान गरिएका घटनाहरूमा, MuddyWater ले सम्भवतः रिमोट डेस्कटप उपकरणहरू र अनुकूलित Mimikatz लोडर तैनाथ गरेर इजरायली निर्माण संस्था भित्र प्रारम्भिक पहुँच दलालको रूपमा काम गरेको हुन सक्छ। चोरी भएका प्रमाणहरू त्यसपछि Lyceum द्वारा पहुँच विस्तार गर्न र सञ्चालन नियन्त्रण लिन प्रयोग गरिएको हुन सक्छ।

बढ्दो परिचालन परिपक्वताको संकेत

नयाँ कम्पोनेन्टहरू, विशेष गरी फूडर लोडर र मड्डीभाइपर ब्याकडोरको परिचयले मड्डीवाटरको प्राविधिक र सञ्चालन परिष्कारमा उल्लेखनीय प्रगति हाइलाइट गर्दछ। समूहले स्पष्ट रूपमा स्टिल्थियर पर्सिस्टन्स मेकानिजम, अझ कुशल क्रेडेन्सियल चोरी, र गहिरो जासूसी क्षमताहरूमा लगानी गरिरहेको छ।

यो अभियानले इरानी-सम्बद्ध साइबर अपरेटरहरूबाट निरन्तर र विस्तार भइरहेको खतरालाई जोड दिन्छ। कस्टम मालवेयर, स्टिल्थी लोडरहरू, वैध रिमोट प्रशासन उपकरणहरू, र क्रस-ग्रुप सहकार्यको तिनीहरूको मिश्रणले सुझाव दिन्छ कि यस क्षेत्रका संस्थाहरूले उच्च सतर्कतामा रहनुपर्छ र बढ्दो जटिल घुसपैठ रणनीतिहरू विरुद्ध प्रतिरक्षालाई सुदृढ पार्नु पर्छ।