MuddyViper ਬੈਕਡੋਰ

ਜਾਸੂਸੀ ਗਤੀਵਿਧੀਆਂ ਦੀ ਇੱਕ ਹਾਲੀਆ ਲਹਿਰ ਨੇ ਅਕਾਦਮਿਕ, ਇੰਜੀਨੀਅਰਿੰਗ, ਸਥਾਨਕ ਸਰਕਾਰ, ਨਿਰਮਾਣ, ਤਕਨਾਲੋਜੀ, ਆਵਾਜਾਈ ਅਤੇ ਉਪਯੋਗਤਾਵਾਂ ਵਿੱਚ ਇਜ਼ਰਾਈਲੀ ਸੰਗਠਨਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰ ਲਿਆ ਹੈ। ਈਰਾਨੀ ਰਾਜ-ਸੰਗਠਿਤ ਅਦਾਕਾਰਾਂ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਏ ਗਏ ਇਸ ਆਪ੍ਰੇਸ਼ਨ ਨੇ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਬੈਕਡੋਰ ਮਡੀਵਾਈਪਰ ਨੂੰ ਪੇਸ਼ ਕੀਤਾ, ਜੋ ਸਮੂਹ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਨਵੇਂ ਵਾਧੇ ਦਾ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ। ਇੱਕ ਮਿਸਰ-ਅਧਾਰਤ ਤਕਨਾਲੋਜੀ ਫਰਮ ਵੀ ਸ਼ੱਕ ਦੇ ਘੇਰੇ ਵਿੱਚ ਆਈ, ਇਹ ਮੁਹਿੰਮ ਸਤੰਬਰ 2024 ਦੇ ਅਖੀਰ ਤੋਂ ਮਾਰਚ 2025 ਦੇ ਮੱਧ ਤੱਕ ਚੱਲ ਰਹੀ ਸੀ।

ਵਧਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਾਲਾ ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਵਿਰੋਧੀ

ਇਨ੍ਹਾਂ ਹਮਲਿਆਂ ਨੂੰ MuddyWater ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜਿਸਨੂੰ ਮੈਂਗੋ ਸੈਂਡਸਟੋਰਮ, ਸਟੈਟਿਕ ਕਿਟਨ, ਜਾਂ TA450 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਸਮੂਹ ਜਿਸਦਾ ਮੁਲਾਂਕਣ ਈਰਾਨ ਦੇ ਖੁਫੀਆ ਅਤੇ ਸੁਰੱਖਿਆ ਮੰਤਰਾਲੇ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਨ ਲਈ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਘੱਟੋ-ਘੱਟ 2017 ਤੋਂ ਸਰਗਰਮ, MuddyWater ਕੋਲ ਜਾਸੂਸੀ ਅਤੇ ਵਿਨਾਸ਼ਕਾਰੀ ਕਾਰਵਾਈਆਂ ਦਾ ਇੱਕ ਲੰਮਾ ਰਿਕਾਰਡ ਹੈ, ਜਿਸ ਵਿੱਚ ਪਹਿਲਾਂ POWERSTATS ਮੁਹਿੰਮਾਂ ਅਤੇ ਓਪਰੇਸ਼ਨ Quicksand ਦੌਰਾਨ PowGoop ਰੈਨਸਮਵੇਅਰ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ।

ਪ੍ਰਕਾਸ਼ਿਤ ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, ਇਹ ਸਮੂਹ ਸਥਾਨਕ ਅਧਿਕਾਰੀਆਂ, ਹਵਾਈ ਆਵਾਜਾਈ, ਸੈਰ-ਸਪਾਟਾ, ਸਿਹਤ ਸੇਵਾਵਾਂ, ਦੂਰਸੰਚਾਰ ਨੈੱਟਵਰਕ, ਆਈਟੀ ਪ੍ਰਦਾਤਾਵਾਂ ਅਤੇ ਛੋਟੇ ਅਤੇ ਦਰਮਿਆਨੇ ਉਦਯੋਗਾਂ (SMEs) ਵਿੱਚ ਫੈਲੇ ਇਜ਼ਰਾਈਲੀ ਟੀਚਿਆਂ 'ਤੇ ਹਮਲਾ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ।

ਉਨ੍ਹਾਂ ਦੀ ਵਿਕਸਤ ਹੋ ਰਹੀ ਪਲੇਬੁੱਕ: ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਤੋਂ ਲੈ ਕੇ VPN ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਤੱਕ

ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਦਾਕਾਰ ਆਮ ਤੌਰ 'ਤੇ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਅਤੇ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ VPN ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਦੁਰਵਰਤੋਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਐਂਟਰੀ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾ ਸਕੇ। ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ, ਇਹਨਾਂ ਘੁਸਪੈਠਾਂ ਵਿੱਚ ਜਾਇਜ਼ ਰਿਮੋਟ ਪ੍ਰਸ਼ਾਸਨ ਟੂਲਸ ਦੀ ਤੈਨਾਤੀ ਸ਼ਾਮਲ ਸੀ - ਜੋ ਕਿ MuddyWater ਦੇ ਕਾਰਜਾਂ ਦੀ ਇੱਕ ਪਛਾਣ ਹੈ। ਹਾਲਾਂਕਿ, ਮਈ 2024 ਤੋਂ, ਉਹਨਾਂ ਦੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨੇ ਇੱਕ ਗੁਪਤ ਬੈਕਡੋਰ ਪ੍ਰਦਾਨ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ ਹੈ ਜਿਸਨੂੰ BugSleep (ਜਿਸਨੂੰ MuddyRot ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਵਧੇਰੇ ਅਨੁਕੂਲਿਤ ਟੂਲਿੰਗ ਵੱਲ ਇੱਕ ਤਬਦੀਲੀ ਦਰਸਾਉਂਦਾ ਹੈ।

ਸਮੂਹ ਦਾ ਵਿਸ਼ਾਲ ਹਥਿਆਰਾਂ ਦਾ ਭੰਡਾਰ ਬਹੁਤ ਵਿਸ਼ਾਲ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਬਲੈਕਆਉਟ, ਐਂਕਰਰੈਟ, ਕੈਨਨਰੈਟ, ਨੇਸ਼ਟਾ, ਅਤੇ ਸੈਡ ਸੀ2 ਫਰੇਮਵਰਕ ਸ਼ਾਮਲ ਹਨ, ਜੋ ਕਿ ਟ੍ਰੇਜ਼ਰਬਾਕਸ ਅਤੇ ਬਲੈਕਪਰਲ ਆਰਏਟੀ ਵਰਗੇ ਲੋਡਰਾਂ ਨੂੰ ਫੈਲਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ।

ਫਿਸ਼ਿੰਗ ਪਹਿਲਾ ਕਦਮ ਰਹਿੰਦਾ ਹੈ

ਹਮਲੇ ਦੀ ਤਾਜ਼ਾ ਲਹਿਰ ਅਜੇ ਵੀ ਖਤਰਨਾਕ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਿਨ੍ਹਾਂ ਵਿੱਚ PDF ਅਟੈਚਮੈਂਟ ਹੁੰਦੇ ਹਨ। ਇਹ PDF ਪੀੜਤਾਂ ਨੂੰ Atera, Level, PDQ, ਅਤੇ SimpleHelp ਵਰਗੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਰਿਮੋਟ ਟੂਲਸ ਲਈ ਡਾਊਨਲੋਡ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਪੈਰ ਜਮਾ ਲੈਣ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰ ਹੋਰ ਵਿਸ਼ੇਸ਼ ਹਿੱਸਿਆਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦੇ ਹਨ।

ਪੇਸ਼ ਹੈ ਫੂਡਰ ਅਤੇ ਮੱਡੀਵਾਈਪਰ

ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਫੂਡਰ ਨਾਮਕ ਇੱਕ ਲੋਡਰ ਪ੍ਰਮੁੱਖਤਾ ਨਾਲ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ C/C++-ਅਧਾਰਿਤ MuddyViper ਬੈਕਡੋਰ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਬਣਾਇਆ ਗਿਆ ਹੈ। ਫੂਡਰ ਦੇ ਰੂਪਾਂ ਨੂੰ ਕਈ ਪਲੇਟਫਾਰਮਾਂ (Safari ਦੇ ਅਪਵਾਦ ਦੇ ਨਾਲ) ਤੋਂ ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ go-socks5 ਟਨਲਿੰਗ ਉਪਯੋਗਤਾਵਾਂ ਅਤੇ ਓਪਨ-ਸੋਰਸ HackBrowserData ਟੂਲ ਨੂੰ ਵੰਡਦੇ ਹੋਏ ਵੀ ਦੇਖਿਆ ਗਿਆ ਹੈ।

MuddyViper ਖੁਦ ਵਿਆਪਕ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਓਪਰੇਟਰਾਂ ਨੂੰ ਸਿਸਟਮ ਵੇਰਵੇ ਇਕੱਠੇ ਕਰਨ, ਫਾਈਲਾਂ ਅਤੇ ਕਮਾਂਡਾਂ ਚਲਾਉਣ, ਡੇਟਾ ਨੂੰ ਅੰਦਰ ਅਤੇ ਬਾਹਰ ਭੇਜਣ, ਅਤੇ Windows ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਲੁਕਵੀਂ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣ ਲਈ 20 ਬਿਲਟ-ਇਨ ਕਮਾਂਡਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਕੁਝ ਫੂਡਰ ਰੂਪ ਆਪਣੇ ਆਪ ਨੂੰ ਕਲਾਸਿਕ ਸਨੇਕ ਗੇਮ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦੇ ਹਨ ਅਤੇ ਖੋਜ ਨੂੰ ਰੋਕਣ ਲਈ ਦੇਰੀ ਨਾਲ ਚੱਲਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਇਹ ਤਕਨੀਕ ਪਹਿਲੀ ਵਾਰ ਸਤੰਬਰ 2025 ਵਿੱਚ ਨੋਟ ਕੀਤੀ ਗਈ ਸੀ।

ਓਪਰੇਸ਼ਨ ਵਿੱਚ ਦੇਖੇ ਗਏ ਵਾਧੂ ਔਜ਼ਾਰ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨਿਰੰਤਰਤਾ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ, ਅਤੇ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਕਈ ਸਹਾਇਕ ਉਪਯੋਗਤਾਵਾਂ ਦੀ ਤੈਨਾਤੀ ਦਾ ਵੀ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ:

VAXOne - Veeam, AnyDesk, Xerox, ਜਾਂ OneDrive ਅੱਪਡੇਟਰ ਦੇ ਰੂਪ ਵਿੱਚ ਇੱਕ ਬੈਕਡੋਰ।

CE-ਨੋਟਸ - ਇੱਕ ਬ੍ਰਾਊਜ਼ਰ-ਡਾਟਾ ਚੋਰੀ ਟੂਲ ਜੋ ਲੋਕਲ ਸਟੇਟ ਇਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਚੋਰੀ ਕਰਕੇ Chrome ਦੇ ਐਪ-ਬਾਊਂਡ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਬਲਬ - AC/C++ ਸਟੀਲਰ ਜੋ Chrome, Edge, Firefox, ਅਤੇ Opera ਤੋਂ ਲੌਗਇਨ ਡੇਟਾ ਇਕੱਠਾ ਕਰਦਾ ਹੈ।

LP-ਨੋਟਸ - AC/C++ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ-ਹਾਰਵੈਸਟਿੰਗ ਟੂਲ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦੇ ਲੌਗਇਨ ਵੇਰਵੇ ਦਰਜ ਕਰਨ ਲਈ ਧੋਖਾਧੜੀ ਵਾਲਾ ਵਿੰਡੋਜ਼ ਸੁਰੱਖਿਆ ਪ੍ਰੋਂਪਟ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ।

ਲਾਇਸੀਅਮ ਨਾਲ ਸਹਿਯੋਗ: ਇੱਕ ਕਾਰਜਸ਼ੀਲ ਓਵਰਲੈਪ ਉਭਰਦਾ ਹੈ

ਜਾਂਚ ਤੋਂ ਪਤਾ ਲੱਗਾ ਕਿ ਮਡੀਵਾਟਰ ਦੀ ਗਤੀਵਿਧੀ ਲਾਇਸੀਅਮ (ਜਿਸਨੂੰ ਹੈਕਸੇਨ, ਸਪਿਰਲਿਨ, ਜਾਂ ਸਿਆਮੇਸੇਕਿਟਨ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੇ ਕਾਰਜਾਂ ਨਾਲ ਜੁੜਦੀ ਹੈ, ਜੋ ਕਿ ਆਇਲਰਿਗ (APT34) ਦਾ ਇੱਕ ਉਪ ਸਮੂਹ ਹੈ ਜੋ ਘੱਟੋ ਘੱਟ 2018 ਤੋਂ ਖੇਤਰੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਵਿੱਚ ਸਰਗਰਮ ਹੈ।

2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਪਛਾਣੀਆਂ ਗਈਆਂ ਘਟਨਾਵਾਂ ਦੌਰਾਨ, MuddyWater ਨੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇੱਕ ਇਜ਼ਰਾਈਲੀ ਨਿਰਮਾਣ ਸੰਗਠਨ ਦੇ ਅੰਦਰ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਟੂਲਸ ਅਤੇ ਇੱਕ ਅਨੁਕੂਲਿਤ ਮਿਮਿਕਾਟਜ਼ ਲੋਡਰ ਨੂੰ ਤੈਨਾਤ ਕਰਕੇ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲ ਵਜੋਂ ਕੰਮ ਕੀਤਾ। ਚੋਰੀ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਫਿਰ ਲਾਇਸੀਅਮ ਦੁਆਰਾ ਪਹੁੰਚ ਦਾ ਵਿਸਤਾਰ ਕਰਨ ਅਤੇ ਸੰਚਾਲਨ ਨਿਯੰਤਰਣ ਸੰਭਾਲਣ ਲਈ ਵਰਤਿਆ ਗਿਆ ਸੀ।

ਵਧਦੀ ਕਾਰਜਸ਼ੀਲ ਪਰਿਪੱਕਤਾ ਦਾ ਸੰਕੇਤ

ਨਵੇਂ ਹਿੱਸਿਆਂ ਦੀ ਸ਼ੁਰੂਆਤ, ਖਾਸ ਕਰਕੇ ਫੂਡਰ ਲੋਡਰ ਅਤੇ ਮਡੀਵਾਈਪਰ ਬੈਕਡੋਰ, ਮਡੀਵਾਟਰ ਦੀ ਤਕਨੀਕੀ ਅਤੇ ਸੰਚਾਲਨ ਸੂਝ-ਬੂਝ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਪ੍ਰਗਤੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਇਹ ਸਮੂਹ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਚੋਰੀ-ਛਿਪੇ ਸਥਿਰਤਾ ਵਿਧੀਆਂ, ਵਧੇਰੇ ਕੁਸ਼ਲ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ, ਅਤੇ ਡੂੰਘੀ ਖੋਜ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਨਿਵੇਸ਼ ਕਰ ਰਿਹਾ ਹੈ।

ਇਹ ਮੁਹਿੰਮ ਈਰਾਨੀ-ਸੰਗਠਿਤ ਸਾਈਬਰ ਆਪਰੇਟਰਾਂ ਤੋਂ ਲਗਾਤਾਰ ਅਤੇ ਵਧ ਰਹੇ ਖ਼ਤਰੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਉਨ੍ਹਾਂ ਦੇ ਕਸਟਮ ਮਾਲਵੇਅਰ, ਸਟੀਲਥੀ ਲੋਡਰ, ਜਾਇਜ਼ ਰਿਮੋਟ ਪ੍ਰਸ਼ਾਸਨ ਟੂਲਸ, ਅਤੇ ਕਰਾਸ-ਗਰੁੱਪ ਸਹਿਯੋਗ ਦਾ ਮਿਸ਼ਰਣ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਖੇਤਰ ਦੇ ਸੰਗਠਨਾਂ ਨੂੰ ਉੱਚ ਚੌਕਸ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਵਧਦੀ ਗੁੰਝਲਦਾਰ ਘੁਸਪੈਠ ਰਣਨੀਤੀਆਂ ਦੇ ਵਿਰੁੱਧ ਬਚਾਅ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।