MuddyViper Backdoor
Недавняя волна шпионской активности была направлена против широкого круга израильских организаций, представляющих академическую сферу, инженерные, местные органы власти, производство, технологии, транспорт и коммунальные услуги. В ходе операции, приписываемой иранским агентам, связанным с государством, был использован ранее неизвестный бэкдор MuddyViper, что стало сигналом к новой эскалации тактики группировки. Под прицел попала и одна египетская технологическая компания. Кампания проводилась с конца сентября 2024 года по середину марта 2025 года.
Оглавление
Знакомый противник с расширяющимися возможностями
Атаки связаны с MuddyWater, также известной как Mango Sandstorm, Static Kitten или TA450, — группой, которая, по оценкам, подчиняется Министерству разведки и безопасности Ирана. MuddyWater действует как минимум с 2017 года и имеет богатую историю шпионажа и деструктивных действий, включая предыдущие кампании POWERSTATS и использование программы-вымогателя PowGoop во время операции «Зыбучие пески».
Согласно опубликованным данным, группировка продолжает наносить удары по израильским объектам, охватывающим местные органы власти, воздушный транспорт, туризм, службы здравоохранения, телекоммуникационные сети, поставщиков ИТ-услуг и малый и средний бизнес.
Их развивающаяся стратегия: от социальной инженерии до использования уязвимостей VPN
Злоумышленники обычно используют фишинговые письма и известные уязвимости VPN для доступа к системе. Традиционно эти атаки подразумевали использование легитимных инструментов удалённого администрирования — отличительная черта деятельности MuddyWater. Однако с мая 2024 года в фишинговых письмах стал использоваться скрытый бэкдор, известный как BugSleep (также известный как MuddyRot), что свидетельствует о переходе к более специализированным инструментам.
Арсенал группы обширен и включает Blackout, AnchorRat, CannonRat, Neshta и фреймворк Sad C2, который помогает распространять такие загрузчики, как TreasureBox и BlackPearl RAT.
Фишинг остается первым шагом
Последняя волна атак по-прежнему начинается с вредоносных электронных писем с вложениями в формате PDF. Эти PDF-файлы подсказывают жертвам ссылки на скачивание популярных инструментов удалённого доступа, таких как Atera, Level, PDQ и SimpleHelp. Закрепившись, злоумышленники переходят к использованию более специализированных компонентов.
Представляем Fooder и MuddyViper
В этой кампании активно используется загрузчик Fooder, предназначенный для расшифровки и выполнения бэкдора MuddyViper на языке C/C++. Также были замечены варианты Fooder, распространяющие утилиты для туннелирования go-socks5 и инструмент с открытым исходным кодом HackBrowserData для сбора данных браузеров с различных платформ (за исключением Safari).
MuddyViper предоставляет расширенный контроль, позволяя операторам собирать системную информацию, запускать файлы и команды, переносить данные, а также красть учётные данные Windows и информацию браузера. Он поддерживает 20 встроенных команд для скрытого доступа. Некоторые варианты Fooder маскируются под классическую игру «Змейка» и используют отложенное выполнение для обхода обнаружения — эта техника была впервые обнаружена в сентябре 2025 года.
Дополнительные инструменты, обнаруженные в ходе операции
Исследователи также задокументировали развертывание нескольких вспомогательных утилит, предназначенных для сохранения, кражи учетных данных и сбора данных:
VAXOne – бэкдор, маскирующийся под Veeam, AnyDesk, Xerox или средство обновления OneDrive.
CE-Notes – инструмент кражи данных браузера, предназначенный для обхода шифрования, привязанного к приложению Chrome, путем кражи ключа шифрования Local State.
Blub – похититель AC/C++, собирающий данные входа в Chrome, Edge, Firefox и Opera.
LP-Notes – инструмент сбора учетных данных AC/C++, который отображает мошенническое сообщение системы безопасности Windows, чтобы обманом заставить пользователей ввести свои учетные данные.
Сотрудничество с лицеем: возникает операционное дублирование
Расследование показало, что деятельность MuddyWater пересекалась с операциями Lyceum (также известной как Hexane, Spirlin или Siamesekitten), подгруппы OilRig (APT34), которая занимается региональным кибершпионажем как минимум с 2018 года.
Во время инцидентов, выявленных в начале 2025 года, MuddyWater, вероятно, выступал в качестве посредника для первоначального доступа внутри израильской производственной компании, используя инструменты удалённого рабочего стола и специализированный загрузчик Mimikatz. Украденные учётные данные затем, вероятно, были использованы Lyceum для расширения доступа и установления оперативного контроля.
Признак повышения операционной зрелости
Внедрение новых компонентов, в частности, загрузчика Fooder и бэкдора MuddyViper, демонстрирует заметный прогресс в технической и операционной продвинутости MuddyWater. Группа явно инвестирует в более скрытные механизмы сохранения, более эффективные методы кражи учетных данных и более глубокие возможности разведки.
Эта кампания подчёркивает сохраняющуюся и растущую угрозу со стороны связанных с Ираном кибероператоров. Их сочетание специализированного вредоносного ПО, скрытых загрузчиков, легитимных инструментов удалённого администрирования и межгруппового взаимодействия свидетельствует о том, что организациям в регионе необходимо сохранять повышенную бдительность и усиливать защиту от всё более сложных стратегий вторжений.
