अपरेशन ओलालाम्पो आक्रमण अभियान
इरानी राज्य-समर्थित खतरा समूह मड्डीवाटर, जसलाई अर्थ भेटाला, म्याङ्गो स्यान्डस्टर्म र मड्डीकोस्ट पनि भनिन्छ, ले अपरेशन ओलालाम्पो नामक नयाँ साइबर अभियान सुरु गरेको छ। यो अपरेशनले मुख्यतया मध्य पूर्व र उत्तर अफ्रिका (MENA) क्षेत्रभरिका संस्था र व्यक्तिहरूलाई लक्षित गरेको छ।
जनवरी २६, २०२६ मा पहिलो पटक पत्ता लागेको, अभियानले समूहसँग पहिले सम्बन्धित कम्पोनेन्टहरू पुन: प्रयोग गर्दा धेरै नयाँ मालवेयर परिवारहरू परिचय गराउँछ। सुरक्षा अनुसन्धानकर्ताहरूले रिपोर्ट गर्छन् कि गतिविधिले MuddyWater को स्थापित परिचालन ढाँचाहरूको निरन्तरतालाई प्रतिबिम्बित गर्दछ, जसले META क्षेत्र (मध्य पूर्व, टर्की र अफ्रिका) मा यसको निरन्तर उपस्थितिलाई सुदृढ बनाउँछ।
सामग्रीको तालिका
संक्रमण भेक्टर र आक्रमण श्रृंखलाहरू
यो अभियानले पहिलेका MuddyWater अपरेशनहरूसँग मिल्दोजुल्दो परिचित घुसपैठ विधि पछ्याउँछ। प्रारम्भिक पहुँच सामान्यतया भाला-फिसिङ इमेलहरूबाट सुरु हुन्छ जसमा दुर्भावनापूर्ण माइक्रोसफ्ट अफिस संलग्नकहरू हुन्छन्। यी कागजातहरूले पीडितको प्रणालीमा पेलोडहरू डिकोड गर्न र कार्यान्वयन गर्न डिजाइन गरिएको म्याक्रो कोड इम्बेड गर्छन्, अन्ततः आक्रमणकारीहरूलाई रिमोट कन्ट्रोल प्रदान गर्छन्।
आक्रमणका धेरै भिन्नताहरू अवलोकन गरिएका छन्:
- एउटा दुर्भावनापूर्ण माइक्रोसफ्ट एक्सेल कागजातले पीडितहरूलाई म्याक्रोहरू सक्षम गर्न प्रेरित गर्छ, जसले गर्दा रस्ट-आधारित ब्याकडोर CHAR को तैनाती सुरु हुन्छ।
- सम्बन्धित भेरियन्टले GhostFetch डाउनलोडर प्रदान गर्दछ, जसले पछि GhostBackDoor इम्प्लान्ट स्थापना गर्दछ।
- तेस्रो संक्रमण शृङ्खलाले HTTP_VIP डाउनलोडर वितरण गर्न मध्य पूर्वी ऊर्जा र समुद्री सेवा कम्पनीको नक्कल गर्नुको सट्टा उडान टिकट वा सञ्चालन रिपोर्टहरू जस्ता विषयगत आकर्षणहरू प्रयोग गर्दछ। यो भेरियन्टले अन्ततः निरन्तर पहुँचको लागि AnyDesk रिमोट डेस्कटप अनुप्रयोग स्थापना गर्दछ।
थप रूपमा, समूहले लक्षित वातावरणमा प्रारम्भिक पहुँच प्राप्त गर्न इन्टरनेट-फेसिङ सर्भरहरूमा नयाँ खुलासा गरिएका कमजोरीहरूको शोषण गरेको अवलोकन गरिएको छ।
मालवेयर आर्सेनल: कस्टम टूलिङ र मोड्युलर इम्प्लान्टहरू
अपरेशन ओलालाम्पो एक संरचित, बहु-चरणीय मालवेयर इकोसिस्टममा निर्भर गर्दछ जुन जासूसी, दृढता र रिमोट कन्ट्रोलको लागि डिजाइन गरिएको हो। यस अभियानमा पहिचान गरिएका प्राथमिक उपकरणहरू समावेश छन्:
GhostFetch – पहिलो-चरणको डाउनलोडर जसले माउसको चाल र स्क्रिन रिजोल्युसन प्रमाणित गरेर, डिबगिङ उपकरणहरू पत्ता लगाएर, भर्चुअल मेसिन कलाकृतिहरू पहिचान गरेर, र एन्टिभाइरस सफ्टवेयरको लागि जाँच गरेर सम्झौता गरिएका प्रणालीहरूको प्रोफाइल बनाउँछ। यसले मेमोरीमा सिधै माध्यमिक पेलोडहरू पुन: प्राप्त गर्दछ र कार्यान्वयन गर्दछ।
GhostBackDoor - GhostFetch द्वारा डेलिभर गरिएको दोस्रो-चरणको इम्प्लान्ट। यसले अन्तरक्रियात्मक शेल पहुँच, फाइल पढ्ने/लेख्ने कार्यहरू सक्षम बनाउँछ, र GhostFetch लाई पुन: सुरु गर्न सक्छ।
HTTP_VIP - एक नेटिभ डाउनलोडर जसले प्रणालीको जासूसी गर्छ र प्रमाणीकरणको लागि बाह्य डोमेन "codefusiontech(dot)org" मा जडान गर्छ। यसले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट AnyDesk लाई तैनाथ गर्छ। नयाँ संस्करणले पीडित डेटा सङ्कलन, अन्तरक्रियात्मक शेल कार्यान्वयन, फाइल स्थानान्तरण, क्लिपबोर्ड क्याप्चर, र कन्फिगरयोग्य बीकनिङ अन्तरालहरूसँग कार्यक्षमता बढाउँछ।
CHAR - 'Olalampo' (प्रयोगकर्ता नाम: stager_51_bot) को रूपमा पहिचान गरिएको टेलिग्राम बट मार्फत नियन्त्रित रस्ट-आधारित ब्याकडोर। यसले डाइरेक्टरी नेभिगेसन र cmd.exe वा PowerShell आदेशहरूको कार्यान्वयनलाई समर्थन गर्दछ।
CHAR सँग सम्बन्धित PowerShell कार्यक्षमताले SOCKS5 रिभर्स प्रोक्सी वा Kalim नामक अतिरिक्त ब्याकडोरको कार्यान्वयनलाई सक्षम बनाउँछ। यसले ब्राउजर डेटा एक्सफिल्टरेशनलाई पनि सहज बनाउँछ र 'sh.exe' र 'gshdoc_release_X64_GUI.exe' लेबल गरिएका कार्यान्वयनयोग्यहरू सुरु गर्छ।
एआई-सहायता प्राप्त विकास र कोड ओभरल्याप
CHAR को स्रोत कोडको प्राविधिक विश्लेषणले कृत्रिम बुद्धिमत्ता-सहायता प्राप्त विकासका सूचकहरू प्रकट गर्यो। डिबग स्ट्रिङ भित्र इमोजीहरूको उपस्थिति गुगलले खुलासा गरेको पहिलेको निष्कर्षसँग मिल्दोजुल्दो छ, जसले रिपोर्ट गरेको छ कि MuddyWater ले मालवेयर विकास बढाउन, विशेष गरी फाइल स्थानान्तरण र रिमोट कार्यान्वयन क्षमताहरूको लागि जेनेरेटिभ एआई उपकरणहरू प्रयोग गरिरहेको छ।
थप विश्लेषणले CHAR र Rust-आधारित मालवेयर BlackBeard, जसलाई Archer RAT वा RUSTRIC पनि भनिन्छ, बीचको संरचनात्मक र वातावरणीय समानताहरू देखाउँछ, जुन पहिले समूहद्वारा मध्य पूर्वी संस्थाहरू विरुद्ध तैनाथ गरिएको थियो। यी ओभरल्यापहरूले साझा विकास पाइपलाइनहरू र उपकरणको पुनरावृत्ति परिष्करणलाई सुझाव दिन्छ।
क्षमता र रणनीतिक उद्देश्य विस्तार गर्दै
MuddyWater META क्षेत्र भित्र एक निरन्तर र विकसित खतरा अभिनेता बनेको छ। AI-सहायता प्राप्त विकासको एकीकरण, बेस्पोक मालवेयरको निरन्तर परिष्करण, सार्वजनिक-अनुहार कमजोरीहरूको शोषण, र C2 पूर्वाधारको विविधीकरणले सामूहिक रूपमा परिचालन विस्तारको लागि दीर्घकालीन प्रतिबद्धता प्रदर्शन गर्दछ।
अपरेशन ओलालाम्पोले MENA-आधारित लक्ष्यहरूमा समूहको निरन्तर ध्यान केन्द्रित गर्दछ र यसको घुसपैठ क्षमताहरूको बढ्दो परिष्कारलाई प्रकाश पार्छ। यस क्षेत्रमा सञ्चालन हुने संस्थाहरूले उच्च सतर्कता कायम राख्नुपर्छ, म्याक्रो प्रतिबन्धहरू लागू गर्नुपर्छ, आउटबाउन्ड कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चारहरूको निगरानी गर्नुपर्छ, र यो विकसित खतरा परिदृश्यको जोखिमलाई कम गर्न समयमै जोखिम समाधानलाई प्राथमिकता दिनुपर्छ।
