Атака с использованием программы-вымогателя MuddyWater под ложным флагом

Иранская государственная кибергруппировка MuddyWater, также известная под псевдонимами Mango Sandstorm, Seedworm и Static Kitten, связана со сложной кампанией по распространению программ-вымогателей, которую следователи описывают как операцию под ложным флагом. Хотя первоначально вторжение напоминало деятельность, связанную с обычной операцией Ransomware-as-a-Service (RaaS) с использованием программы-вымогателя Chaos, более глубокий анализ выявил характеристики, соответствующие целенаправленной кибератаке, спонсируемой государством и замаскированной под финансово мотивированное вымогательство.

Операция, выявленная в начале 2026 года, в значительной степени опиралась на социальную инженерию через Microsoft Teams. Злоумышленники проводили интерактивные сеансы взаимодействия с жертвами, используя функцию демонстрации экрана для сбора учетных данных и манипулирования процессами многофакторной аутентификации. Получив доступ, злоумышленники отказались от традиционных методов вымогательства, таких как масштабное шифрование файлов, и вместо этого сосредоточились на краже данных, скрытом проникновении и долгосрочном доступе к сети с помощью утилит удаленного управления.

Методы киберпреступности, используемые для сокрытия государственных операций.

Исследователи полагают, что эта кампания отражает преднамеренные попытки MuddyWater скрыть свою причастность, используя инструменты и методы, обычно ассоциирующиеся с киберпреступными экосистемами. Группа все чаще интегрирует в свою деятельность коммерчески доступное подпольное вредоносное ПО и фреймворки удаленного доступа, включая такие инструменты, как CastleRAT и Tsundere.

Эта тактика соответствует предыдущим кампаниям MuddyWater, которые сочетали шпионаж и деструктивную деятельность с операциями в стиле программ-вымогателей. В 2020 году группа атаковала крупные израильские организации, используя загрузчик PowGoop для развертывания деструктивного варианта программы-вымогателя Thanos. В 2023 году Microsoft связала группу с DEV-1084, участником, связанным с псевдонимом DarkBit, во время атак, замаскированных под инциденты с программами-вымогателями. К концу 2025 года операторы, связанные с Ираном, также подозревались в использовании программы-вымогателя Qilin против израильской правительственной больницы.

Исследователи в области безопасности пришли к выводу, что в последней кампании, вероятно, участвовали связанные с Ираном операторы, действовавшие через устоявшуюся киберпреступную инфраструктуру и преследувшие более широкие геополитические цели. Использование Qilin и участие в экосистемах, связанных с программами-вымогателями, вероятно, обеспечивали оперативное прикрытие, возможность отрицания причастности и доступ к развитым средствам атаки, а также помогали злоумышленникам обходить усиленный израильский мониторинг.

Chaos RaaS: растущая экосистема вымогательства

Группа Chaos появилась в начале 2025 года как организация, предоставляющая услуги вымогательства (Ransomware-as-a-Service) и известная своей агрессивной тактикой двойного вымогательства. Группа продвигала свою партнерскую программу на подпольных форумах киберпреступников, таких как RAMP и RehubCom, и быстро расширила сферу своей деятельности.

В ходе хаотичных кампаний обычно сочетаются рассылка спама по электронной почте, голосовой фишинг и атаки с использованием поддельных учетных записей Microsoft Teams, в которых злоумышленники выдают себя за сотрудников ИТ-поддержки. Жертв заставляют установить приложения для удаленного доступа, такие как Microsoft Quick Assist, что позволяет злоумышленникам закрепиться в корпоративной среде, прежде чем повысить свои привилегии, распространиться по сети и развернуть вредоносные программы-вымогатели.

Группа также продемонстрировала все более агрессивные методы вымогательства:

• Двойное вымогательство посредством кражи данных и требований выкупа.
• Тройное вымогательство, включающее угрозы распределенных DDoS-атак (отказ в обслуживании).
• Четверное вымогательство, включающее угрозы связаться с клиентами, партнерами или конкурентами для усиления давления на жертв.

К марту 2026 года платформа Chaos, предназначенная для сбора утечек, уничтожила 36 жертв, большинство из которых находились в США. Наиболее пострадавшими отраслями оказались строительство, производство и сфера бизнес-услуг.

Анатомия интрузии

В ходе расследованного вторжения злоумышленники инициировали внешние беседы в Microsoft Teams с сотрудниками, чтобы завоевать их доверие и побудить к сеансам демонстрации экрана. Затем скомпрометированные учетные записи пользователей использовались для разведки, закрепления в системе, горизонтального перемещения и утечки данных.

Подключившись к системам жертв, злоумышленники выполняли разведывательные команды, получали доступ к файлам, связанным с VPN, и инструктировали пользователей вручную вводить учетные данные в локально созданные текстовые документы. В нескольких случаях для расширения возможностей удаленного доступа была установлена программа AnyDesk.

Кроме того, злоумышленники использовали протокол удаленного рабочего стола (RDP) для загрузки исполняемого файла с именем «ms_upd.exe» с внешнего сервера по адресу 172.86.126.208 с помощью утилиты curl. После запуска вредоносная программа инициировала многоступенчатую цепочку заражения, предназначенную для развертывания дополнительных вредоносных компонентов и установления постоянной связи с командно-контрольным центром.

Арсенал вредоносного ПО, стоящий за этой кампанией.

Цепочка заражения включала в себя несколько отдельных компонентов вредоносного ПО, которые работали вместе для обеспечения постоянного присутствия в системе и выполнения удаленных команд:

• Программа 'ms_upd.exe' (Stagecomp) собрала системную информацию и связалась с сервером управления для загрузки дополнительных полезных нагрузок, включая 'game.exe', 'WebView2Loader.dll' и 'visualwincomp.txt'.
• 'game.exe' (Darkcomp) функционировал как троян удаленного доступа, маскирующийся под легитимное приложение Microsoft WebView2, основанное на официальном проекте WebView2APISample.

• Файл 'WebView2Loader.dll' являлся допустимой зависимостью, необходимой для работы WebView2 в Microsoft Edge.

• Файл 'visualwincomp.txt' содержал зашифрованные данные конфигурации, используемые RAT для идентификации инфраструктуры управления и контроля.

После активации троян удаленного доступа непрерывно обменивался данными со своим командным сервером каждые 60 секунд, позволяя операторам выполнять сценарии PowerShell, запускать системные команды, манипулировать файлами и запускать интерактивные сеансы командной строки.

Доказательства, связывающие операцию с компанией MuddyWater.

Связь с MuddyWater укрепилась благодаря обнаружению сертификата подписи кода, связанного с «Дональдом Гэем», который использовался для подписи образца вредоносного ПО «ms_upd.exe». Этот же сертификат ранее был связан с вредоносным ПО MuddyWater, включая вариант загрузчика CastleLoader, известный как Fakeset.

Исследователи отметили, что операция продемонстрировала значительное сближение между спонсируемой государством шпионажной деятельностью и методами работы киберпреступников. Интеграция брендирования программ-вымогателей, переговоров о вымогательстве и коммерчески доступных вредоносных программ усложнила усилия по установлению личности злоумышленника и отвлекла внимание защиты на немедленные действия по получению выкупа, а не на долгосрочные механизмы обеспечения безопасности, созданные с помощью инструментов удаленного доступа.

Почему это нападение выделялось

Одним из наиболее необычных аспектов кампании стало очевидное отсутствие повсеместного шифрования файлов, несмотря на использование артефактов программы-вымогателя Chaos. Это отклонение от стандартного поведения программ-вымогателей убедительно свидетельствует о том, что компонент программы-вымогателя функционировал в первую очередь как маскировка или оперативная дезинформация, а не как основная цель миссии.

Кампания также подчеркивает растущую тенденцию среди иранских киберпреступников к включению инструментов киберпреступности в операции, проводимые по указанию государства. Используя существующую подпольную инфраструктуру и экосистемы вредоносного ПО, такие группы, как MuddyWater, получают большую оперативную гибкость, сокращают внутренние затраты на разработку и значительно усложняют усилия по установлению авторства как для защитников, так и для аналитиков разведки.