MuddyViper Backdoor
Niedawna fala działań szpiegowskich skupiła się na szerokim spektrum izraelskich organizacji z sektora akademickiego, inżynieryjnego, samorządowego, produkcyjnego, technologicznego, transportowego i użyteczności publicznej. Operacja, przypisywana irańskim podmiotom powiązanym z państwem, wprowadziła nieznane wcześniej tylne wejście o nazwie MuddyViper, sygnalizując nową eskalację taktyki grupy. Na celowniku znalazła się również jedna egipska firma technologiczna, a kampania trwała od końca września 2024 roku do połowy marca 2025 roku.
Spis treści
Znany przeciwnik z rosnącymi możliwościami
Ataki powiązano z grupą MuddyWater, znaną również jako Mango Sandstorm, Static Kitten lub TA450, działającą pod nadzorem irańskiego Ministerstwa Wywiadu i Bezpieczeństwa. Działająca co najmniej od 2017 roku, MuddyWater ma długą historię szpiegostwa i destrukcyjnych działań, w tym wcześniejsze kampanie POWERSTATS i użycie ransomware PowGoop podczas operacji Quicksand.
Zgodnie z opublikowanymi wnioskami grupa nadal atakuje izraelskie jednostki, takie jak władze lokalne, transport lotniczy, turystyka, służba zdrowia, sieci telekomunikacyjne, dostawcy usług informatycznych i małe i średnie przedsiębiorstwa.
Ich ewoluujący podręcznik: od inżynierii społecznej do wykorzystywania słabości sieci VPN
Atakujący zazwyczaj posługuje się spear phishingiem i wykorzystuje znane luki w zabezpieczeniach VPN, aby uzyskać dostęp do systemu. Historycznie, włamania te polegały na wdrażaniu legalnych narzędzi do zdalnej administracji – co jest znakiem rozpoznawczym działalności MuddyWater. Jednak od maja 2024 roku ich e-maile phishingowe zaczęły dostarczać ukrytego backdoora znanego jako BugSleep (znanego również jako MuddyRot), co wskazuje na przejście na bardziej spersonalizowane narzędzia.
Arsenał grupy jest obszerny i obejmuje Blackout, AnchorRat, CannonRat, Neshta oraz framework Sad C2, który pomaga w rozpowszechnianiu takich ładowarek, jak TreasureBox i BlackPearl RAT.
Phishing pozostaje pierwszym krokiem
Najnowsza fala ataków nadal rozpoczyna się od złośliwych wiadomości e-mail zawierających załączniki w formacie PDF. Te pliki PDF kierują ofiary do pobrania powszechnie używanych narzędzi zdalnych, takich jak Atera, Level, PDQ i SimpleHelp. Po uzyskaniu punktu zaczepienia atakujący przechodzą do wdrażania bardziej wyspecjalizowanych komponentów.
Przedstawiamy Foodera i MuddyVipera
W kampanii tej szczególnie widoczny jest loader o nazwie Fooder, stworzony do deszyfrowania i uruchamiania backdoora MuddyViper opartego na C/C++. Warianty Foodera były również widoczne w dystrybucji narzędzi tunelujących go-socks5 oraz narzędzia HackBrowserData o otwartym kodzie źródłowym do zbierania danych przeglądarek z wielu platform (z wyjątkiem Safari).
MuddyViper sam w sobie zapewnia rozległą kontrolę, umożliwiając operatorom gromadzenie danych systemowych, uruchamianie plików i poleceń, przesyłanie danych oraz kradzież danych uwierzytelniających systemu Windows i informacji z przeglądarki. Obsługuje 20 wbudowanych poleceń, które umożliwiają zachowanie ukrytego dostępu. Niektóre warianty gry Fooder podszywają się pod klasyczną grę Snake i wykorzystują opóźnione wykonywanie, aby ominąć wykrycie – technikę tę po raz pierwszy odnotowano we wrześniu 2025 roku.
Dodatkowe narzędzia obserwowane podczas operacji
Badacze udokumentowali również wdrożenie kilku narzędzi pomocniczych przeznaczonych do ochrony przed kradzieżą danych uwierzytelniających i zbierania danych:
VAXOne – tylne wejście podszywające się pod Veeam, AnyDesk, Xerox lub aktualizator OneDrive.
CE-Notes – narzędzie do kradzieży danych przeglądarki, którego celem jest ominięcie szyfrowania aplikacji Chrome poprzez kradzież klucza szyfrującego Local State.
Blub – program do kradzieży danych AC/C++ zbierający dane logowania z przeglądarek Chrome, Edge, Firefox i Opera.
LP-Notes – narzędzie do zbierania danych uwierzytelniających AC/C++, które wyświetla fałszywy monit programu Windows Security w celu nakłonienia użytkowników do wprowadzenia danych logowania.
Współpraca z Lyceum: Powstaje operacyjne nakładanie się
Śledztwo wykazało, że działalność MuddyWater kolidowała z operacjami Lyceum (znanego również jako Hexane, Spirlin lub Siamesekitten), podgrupy OilRig (APT34) zajmującej się regionalnym cybernetycznym szpiegostwem od co najmniej 2018 r.
Podczas incydentów zidentyfikowanych na początku 2025 roku MuddyWater prawdopodobnie działał jako pośrednik dostępu początkowego w izraelskiej organizacji produkcyjnej, wdrażając narzędzia do zdalnego pulpitu i dostosowany program ładujący Mimikatz. Skradzione dane uwierzytelniające zostały następnie prawdopodobnie wykorzystane przez Lyceum do rozszerzenia dostępu i przejęcia kontroli operacyjnej.
Znak rosnącej dojrzałości operacyjnej
Wprowadzenie nowych komponentów, w szczególności modułu ładującego Fooder i tylnego wejścia MuddyViper, świadczy o znaczącym postępie w zaawansowaniu technicznym i operacyjnym MuddyWater. Grupa wyraźnie inwestuje w bardziej ukryte mechanizmy trwałości, skuteczniejsze wykrywanie kradzieży danych uwierzytelniających i głębsze możliwości rozpoznania.
Kampania podkreśla ciągłe i rosnące zagrożenie ze strony cyberoperatorów powiązanych z Iranem. Ich połączenie autorskiego złośliwego oprogramowania, ukrytych programów ładujących, legalnych narzędzi do zdalnej administracji i współpracy międzygrupowej sugeruje, że organizacje w regionie muszą zachować wzmożoną czujność i wzmocnić obronę przed coraz bardziej złożonymi strategiami włamań.
