मड्डीवाटरमा झुटो झण्डा र्‍यान्समवेयर आक्रमण

इरानी राज्य-प्रायोजित धम्की समूह मड्डीवाटर, जसलाई म्याङ्गो स्यान्डस्टर्म, सिडवर्म र स्ट्याटिक किटन जस्ता उपनामहरू अन्तर्गत पनि ट्र्याक गरिएको छ, एक परिष्कृत र्यान्समवेयर अभियानसँग जोडिएको छ जसलाई अनुसन्धानकर्ताहरूले झूटा-झण्डा अपरेशनको रूपमा वर्णन गर्छन्। यद्यपि घुसपैठ सुरुमा केओस र्यान्समवेयर ब्रान्ड प्रयोग गरेर परम्परागत र्यान्समवेयर-एज-ए-सर्भिस (RaaS) अपरेशनसँग सम्बन्धित गतिविधिसँग मिल्दोजुल्दो थियो, गहन विश्लेषणले आर्थिक रूपमा प्रेरित जबरजस्ती रकम असुलीको रूपमा लक्षित राज्य-प्रायोजित साइबर आक्रमणसँग मिल्दोजुल्दो विशेषताहरू प्रकट गर्‍यो।

२०२६ को सुरुमा पहिचान गरिएको यो अपरेशन माइक्रोसफ्ट टोलीहरू मार्फत सामाजिक इन्जिनियरिङमा धेरै निर्भर थियो। आक्रमणकारीहरूले पीडितहरूसँग अत्यधिक अन्तरक्रियात्मक संलग्नता सत्रहरू सञ्चालन गरे, स्क्रिन-साझेदारी कार्यक्षमतालाई प्रयोग गरेर प्रमाणहरू सङ्कलन गरे र बहु-कारक प्रमाणीकरण प्रक्रियाहरूलाई हेरफेर गरे। पहुँच प्राप्त गरेपछि, धम्की दिने व्यक्तिहरूले ठूलो मात्रामा फाइल इन्क्रिप्शन जस्ता परम्परागत ransomware रणनीतिहरू त्यागे र यसको सट्टा डेटा चोरी, चुपचाप दृढता, र रिमोट व्यवस्थापन उपयोगिताहरू मार्फत दीर्घकालीन नेटवर्क पहुँचमा ध्यान केन्द्रित गरे।

राज्य सञ्चालन लुकाउन प्रयोग गरिने साइबर अपराध व्यापारिक साधन

अनुसन्धानकर्ताहरू विश्वास गर्छन् कि यो अभियानले साइबर आपराधिक इकोसिस्टमसँग सामान्यतया सम्बन्धित उपकरणहरू र प्रविधिहरू अपनाएर श्रेयलाई अस्पष्ट पार्न MuddyWater द्वारा जानाजानी गरिएको प्रयासलाई प्रतिबिम्बित गर्दछ। समूहले व्यावसायिक रूपमा उपलब्ध भूमिगत मालवेयर र रिमोट एक्सेस फ्रेमवर्कहरूलाई आफ्नो सञ्चालनमा बढ्दो रूपमा एकीकृत गरेको छ, जसमा CastleRAT र Tsundere जस्ता उपकरणहरू समावेश छन्।

यो रणनीति अघिल्ला MuddyWater अभियानहरूसँग मिल्दोजुल्दो छ जसले जासुसी र विनाशकारी गतिविधिलाई ransomware-शैली सञ्चालनसँग मिसाएको थियो। २०२० मा, समूहले PowGoop लोडर प्रयोग गरेर Thanos ransomware को विनाशकारी संस्करण तैनाथ गर्न प्रमुख इजरायली संस्थाहरूलाई लक्षित गर्‍यो। २०२३ मा, माइक्रोसफ्टले ransomware घटनाहरूको भेषमा आक्रमण गर्दा DarkBit व्यक्तित्वसँग सम्बन्धित अभिनेता DEV-1084 सँग समूहलाई जोड्यो। २०२५ को अन्त्यसम्ममा, इरानी-सम्बद्ध अपरेटरहरूले इजरायली सरकारी अस्पताल विरुद्ध Qilin ransomware प्रयोग गरेको पनि शंका गरिएको थियो।

सुरक्षा अनुसन्धानकर्ताहरूले निष्कर्ष निकालेका छन् कि पछिल्लो अभियानमा सम्भवतः स्थापित साइबर आपराधिक पूर्वाधारहरू मार्फत सञ्चालन गर्ने इरानी-सम्बद्ध अपरेटरहरू समावेश थिए जबकि व्यापक भूराजनीतिक उद्देश्यहरू पछ्याउँदै। किलिनको प्रयोग र र्यान्समवेयर सम्बद्ध इकोसिस्टममा सहभागिताले सम्भवतः परिचालन कभर, प्रशंसनीय अस्वीकार, र परिपक्व आक्रमण क्षमताहरूमा पहुँच प्रदान गर्‍यो जबकि आक्रमणकारीहरूलाई बढ्दो इजरायली रक्षात्मक निगरानीबाट बच्न मद्दत गर्‍यो।

अराजकता रास: बढ्दो जबरजस्ती करणी पारिस्थितिक प्रणाली

२०२५ को सुरुवातमा अराजकता र्‍यान्समवेयर-एज-ए-सर्भिस अपरेशनको रूपमा देखा पर्‍यो जुन आक्रामक दोहोरो-असुली रणनीतिहरूको लागि परिचित थियो। समूहले RAMP र RehubCom जस्ता भूमिगत साइबर अपराध फोरमहरूमा आफ्नो सम्बद्ध कार्यक्रमको प्रचार गर्‍यो र द्रुत रूपमा आफ्नो परिचालन पहुँच विस्तार गर्‍यो।

अराजक अभियानहरूले सामान्यतया इमेल बाढी, भ्वाइस फिसिङ, र माइक्रोसफ्ट टोलीको प्रतिरूपण आक्रमणहरूलाई संयोजन गर्दछ जसमा धम्की दिने कलाकारहरू IT समर्थन कर्मचारीको रूपमा प्रस्तुत हुन्छन्। पीडितहरूलाई माइक्रोसफ्ट क्विक असिस्ट जस्ता रिमोट एक्सेस अनुप्रयोगहरू स्थापना गर्न हेरफेर गरिन्छ, जसले आक्रमणकारीहरूलाई विशेषाधिकारहरू बढाउनु अघि कर्पोरेट वातावरण भित्र खुट्टा राख्न सक्षम बनाउँछ, पार्श्वमा सर्छ, र ransomware पेलोडहरू तैनाथ गर्दछ।

समूहले बढ्दो आक्रामक जबरजस्ती असुली मोडेलहरू पनि प्रदर्शन गरेको छ:

• डेटा चोरी र फिरौती माग मार्फत दोहोरो जबरजस्ती रकम असुल
• वितरित सेवा अस्वीकार (DDoS) आक्रमणको धम्की सहित तीन पटक जबरजस्ती जबरजस्ती रकम असुल्ने
• पीडितहरूलाई दबाब बढाउन ग्राहक, साझेदार वा प्रतिस्पर्धीहरूलाई सम्पर्क गर्ने धम्की दिने जस्ता चार गुणा बढी जबरजस्ती चन्दा असुल्ने रणनीतिहरू

मार्च २०२६ सम्ममा, केओसले आफ्नो चुहावट प्लेटफर्ममा ३६ जना पीडितहरूको दाबी गरिसकेको थियो, जसमध्ये धेरैजसो संस्थाहरू संयुक्त राज्य अमेरिकामा अवस्थित थिए। निर्माण, निर्माण, र व्यापार सेवा क्षेत्रहरू सबैभन्दा बढी लक्षित उद्योगहरू मध्ये देखा परे।

घुसपैठको शरीर रचना

अनुसन्धान गरिएको घुसपैठको क्रममा, आक्रमणकारीहरूले विश्वास प्राप्त गर्न र स्क्रिन-साझेदारी सत्रहरूलाई प्रोत्साहित गर्न कर्मचारीहरूसँग बाह्य माइक्रोसफ्ट टिम्स कुराकानीहरू सुरु गरे। त्यसपछि सम्झौता गरिएका प्रयोगकर्ता खाताहरूलाई जासूसी, दृढता, पार्श्व आन्दोलन, र डेटा एक्सफिल्टरेशनको लागि प्रयोग गरियो।

पीडित प्रणालीहरूसँग जडान हुँदा, आक्रमणकारीहरूले जासूसी आदेशहरू कार्यान्वयन गर्थे, VPN-सम्बन्धित फाइलहरू पहुँच गर्थे, र प्रयोगकर्ताहरूलाई स्थानीय रूपमा सिर्जना गरिएका पाठ कागजातहरूमा म्यानुअल रूपमा प्रमाणहरू प्रविष्ट गर्न निर्देशन दिन्थे। धेरै उदाहरणहरूमा, रिमोट पहुँच क्षमताहरूलाई बलियो बनाउन AnyDesk स्थापना गरिएको थियो।

धम्की दिने व्यक्तिहरूले कर्ल उपयोगिता प्रयोग गरेर बाह्य सर्भर ठेगाना १७२.८६.१२६.२०८ बाट "ms_upd.exe" नामक एक्जिक्युटेबल पुन: प्राप्त गर्न रिमोट डेस्कटप प्रोटोकल (RDP) प्रयोग गरे। एक पटक सुरु भएपछि, मालवेयरले थप दुर्भावनापूर्ण कम्पोनेन्टहरू तैनाथ गर्न र निरन्तर कमाण्ड-एन्ड-नियन्त्रण सञ्चारहरू स्थापना गर्न डिजाइन गरिएको बहु-चरण संक्रमण श्रृंखला सुरु गर्‍यो।

अभियानको पछाडि मालवेयर आर्सेनल

संक्रमण शृङ्खलामा धेरै फरक मालवेयर कम्पोनेन्टहरू समावेश थिए जसले स्थिरता कायम राख्न र रिमोट आदेशहरू कार्यान्वयन गर्न सँगै काम गर्थे:

• 'ms_upd.exe' (Stagecomp) ले प्रणाली जानकारी सङ्कलन गर्‍यो र 'game.exe,' 'WebView2Loader.dll,' र 'visualwincomp.txt' लगायतका माध्यमिक पेलोडहरू डाउनलोड गर्न कमाण्ड-एन्ड-कन्ट्रोल सर्भरलाई सम्पर्क गर्‍यो।
• 'game.exe' (Darkcomp) ले आधिकारिक WebView2APISample परियोजनामा आधारित वैध Microsoft WebView2 अनुप्रयोगको रूपमा लुकाएर कस्टम रिमोट एक्सेस ट्रोजनको रूपमा काम गर्‍यो।

• 'WebView2Loader.dll' ले Microsoft Edge WebView2 कार्यक्षमताको लागि आवश्यक वैध निर्भरताको रूपमा काम गर्‍यो।

• 'visualwincomp.txt' मा RAT द्वारा कमाण्ड-एन्ड-कन्ट्रोल पूर्वाधार पहिचान गर्न प्रयोग गरिएको इन्क्रिप्टेड कन्फिगरेसन डेटा समावेश थियो।

एकपटक सक्रिय भएपछि, रिमोट एक्सेस ट्रोजनले प्रत्येक ६० सेकेन्डमा आफ्नो कमाण्ड सर्भरसँग निरन्तर संवाद गर्‍यो, जसले गर्दा अपरेटरहरूलाई पावरशेल स्क्रिप्टहरू कार्यान्वयन गर्न, प्रणाली कमाण्डहरू चलाउन, फाइलहरू हेरफेर गर्न र अन्तरक्रियात्मक कमाण्ड-लाइन सत्रहरू स्पोन गर्न अनुमति मिल्थ्यो।

अपरेशनलाई मड्डीवाटरसँग जोड्ने प्रमाणहरू

'डोनाल्ड गे' सँग सम्बन्धित कोड-साइनिङ प्रमाणपत्रको खोज मार्फत मड्डीवाटरको श्रेय बलियो बनाइएको थियो, जुन 'ms_upd.exe' मालवेयर नमूनामा हस्ताक्षर गर्न प्रयोग गरिएको थियो। उही प्रमाणपत्र पहिले मड्डीवाटर मालवेयरसँग लिङ्क गरिएको थियो, जसमा फेकसेट भनेर चिनिने क्यासललोडर डाउनलोडर संस्करण पनि समावेश थियो।

अनुसन्धानकर्ताहरूले उल्लेख गरे कि अपरेशनले राज्य-प्रायोजित जासूसी गतिविधि र साइबर अपराध सञ्चालन विधिहरू बीचको महत्त्वपूर्ण अभिसरण प्रदर्शन गर्‍यो। रैन्समवेयर ब्रान्डिङ, जबरजस्ती रकम असुल्ने वार्ता, र व्यावसायिक रूपमा उपलब्ध मालवेयर फ्रेमवर्कको एकीकरणले एट्रिब्युशन प्रयासहरूलाई जटिल बनायो र रिमोट एक्सेस उपकरणहरू मार्फत स्थापित दीर्घकालीन दृढता संयन्त्रहरूको सट्टा तत्काल फिरौती प्रतिक्रिया गतिविधिहरू तर्फ रक्षात्मक ध्यान मोड्यो।

आक्रमण किन बाहिर रह्यो?

अभियानको सबैभन्दा असामान्य पक्षहरू मध्ये एक केओस रैन्समवेयर कलाकृतिहरूको प्रयोगको बावजुद व्यापक फाइल इन्क्रिप्शनको स्पष्ट अनुपस्थिति थियो। मानक रैन्समवेयर व्यवहारबाट यो विचलनले दृढतापूर्वक सुझाव दिन्छ कि रैन्समवेयर कम्पोनेन्टले प्राथमिक मिशन उद्देश्यको सट्टा मुख्यतया छलावरण वा अपरेशनल गलत दिशाको रूपमा काम गर्यो।

अभियानले इरानी खतरा अभिनेताहरूमाझ राज्य-निर्देशित सञ्चालनहरूमा साइबर अपराध उपकरण समावेश गर्ने बढ्दो प्रवृत्तिलाई पनि प्रकाश पार्छ। अवस्थित भूमिगत पूर्वाधार र मालवेयर इकोसिस्टमहरूको लाभ उठाएर, मड्डीवाटर जस्ता समूहहरूले बढी परिचालन लचिलोपन प्राप्त गर्छन्, आन्तरिक विकास लागत घटाउँछन्, र रक्षकहरू र गुप्तचर विश्लेषकहरूको लागि एट्रिब्युशन प्रयासहरूलाई उल्लेखनीय रूपमा जटिल बनाउँछन्।