Операция «Олалампо» — кампания по нападению
Иранская группировка MuddyWater, также известная под названиями Earth Vetala, Mango Sandstorm и MUDDYCOAST, начала новую киберкампанию под названием «Операция Олалампо». Операция в основном нацелена на организации и отдельных лиц в регионе Ближнего Востока и Северной Африки (MENA).
Впервые обнаруженная 26 января 2026 года, эта кампания внедряет множество новых семейств вредоносных программ, используя при этом компоненты, ранее ассоциированные с этой группой. Исследователи в области безопасности сообщают, что эта активность отражает продолжение устоявшихся оперативных моделей MuddyWater, подтверждая его постоянное присутствие в регионе META (Ближний Восток, Турция и Африка).
Оглавление
Векторы заражения и цепочки атак
В ходе кампании используется знакомая методика вторжения, аналогичная той, что применялась в предыдущих операциях MuddyWater. Первоначальное проникновение обычно начинается с фишинговых писем, содержащих вредоносные вложения Microsoft Office. В эти документы встроен макрокод, предназначенный для декодирования и выполнения вредоносных программ в системе жертвы, что в конечном итоге предоставляет злоумышленникам удаленный контроль.
Было отмечено несколько вариантов атаки:
- Вредоносный документ Microsoft Excel предлагает жертвам включить макросы, что приводит к развертыванию бэкдора CHAR на основе Rust.
- Аналогичный вариант предоставляет загрузчик GhostFetch, который впоследствии устанавливает имплант GhostBackDoor.
- Третья цепочка заражения использует тематические приманки, такие как авиабилеты или оперативные отчеты, вместо того чтобы выдавать себя за ближневосточную энергетическую и морскую компанию, для распространения загрузчика HTTP_VIP. Этот вариант в конечном итоге устанавливает приложение удаленного рабочего стола AnyDesk для постоянного доступа.
Кроме того, было замечено, что группа использует недавно обнаруженные уязвимости на серверах, доступных из интернета, для получения первоначального доступа к целевым средам.
Арсенал вредоносного ПО: специализированные инструменты и модульные имплантаты
Операция «Олалампо» основана на структурированной многоступенчатой экосистеме вредоносного ПО, предназначенной для разведки, закрепления в системе и удаленного управления. Основные инструменты, выявленные в ходе этой кампании, включают:
GhostFetch — это загрузчик первого этапа, который анализирует скомпрометированные системы, проверяя движения мыши и разрешение экрана, обнаруживая инструменты отладки, идентифицируя артефакты виртуальных машин и проверяя наличие антивирусного программного обеспечения. Он извлекает и запускает вторичные полезные нагрузки непосредственно в памяти.
GhostBackDoor — это имплант второго этапа, предоставляемый GhostFetch. Он обеспечивает интерактивный доступ к командной оболочке, операции чтения/записи файлов и может повторно запустить GhostFetch.
HTTP_VIP – это встроенный загрузчик, выполняющий системную разведку и подключающийся к внешнему домену "codefusiontech(dot)org" для аутентификации. Он развертывает AnyDesk с сервера управления и контроля (C2). Более новая версия расширяет функциональность за счет сбора данных жертвы, интерактивного выполнения командной оболочки, передачи файлов, захвата буфера обмена и настраиваемых интервалов отправки маячков.
CHAR – бэкдор на языке Rust, управляемый через Telegram-бота под ником 'Olalampo' (имя пользователя: stager_51_bot). Он поддерживает навигацию по каталогам и выполнение команд cmd.exe или PowerShell.
Функциональность PowerShell, связанная с CHAR, позволяет запускать обратный прокси-сервер SOCKS5 или дополнительный бэкдор под названием Kalim. Она также облегчает утечку данных из браузера и запускает исполняемые файлы с метками 'sh.exe' и 'gshdoc_release_X64_GUI.exe'.
Разработка с использованием ИИ и перекрытие кода
Технический анализ исходного кода CHAR выявил признаки разработки с использованием искусственного интеллекта. Наличие эмодзи в отладочных строках согласуется с предыдущими выводами Google, которая сообщила, что MuddyWater экспериментирует с инструментами генеративного ИИ для повышения эффективности разработки вредоносного ПО, в частности, для передачи файлов и удаленного выполнения.
Дальнейший анализ показывает структурное и экологическое сходство между CHAR и вредоносным ПО на основе Rust BlackBeard, также известным как Archer RAT или RUSTRIC, ранее использовавшимся группой против ближневосточных организаций. Эти совпадения указывают на общие процессы разработки и итеративное совершенствование инструментов.
Расширение возможностей и стратегические намерения
MuddyWater остается постоянным и развивающимся игроком на рынке угроз в регионе META. Интеграция разработки с использованием искусственного интеллекта, постоянное совершенствование специализированного вредоносного ПО, эксплуатация уязвимостей, доступных широкой публике, и диверсификация инфраструктуры управления и контроля в совокупности демонстрируют долгосрочную приверженность расширению операционной деятельности.
Операция «Олалампо» подчеркивает неизменную ориентацию группировки на цели в регионе Ближнего Востока и Северной Африки, а также демонстрирует растущую изощренность ее возможностей по проникновению. Организациям, работающим в регионе, следует проявлять повышенную бдительность, обеспечивать соблюдение макроограничений, отслеживать исходящие коммуникации командно-контрольных пунктов (C2) и уделять приоритетное внимание своевременному устранению уязвимостей для снижения риска воздействия этой постоянно меняющейся угрозы.
