Zadné vrátka MuddyViper
Nedávna vlna špionážnych aktivít sa zamerala na širokú škálu izraelských organizácií z oblasti akademickej obce, strojárstva, miestnej samosprávy, výroby, technológií, dopravy a verejných služieb. Operácia, pripisovaná iránskym štátom naviazaným aktérom, zaviedla doteraz neznáme zadné vrátka s názvom MuddyViper, čo signalizuje novú eskaláciu taktík skupiny. Do hľadáčika sa dostala aj jedna technologická firma so sídlom v Egypte, pričom kampaň prebiehala od konca septembra 2024 do polovice marca 2025.
Obsah
Známy protivník s rozširujúcimi sa schopnosťami
Útoky boli spojené s MuddyWater, známou aj ako Mango Sandstorm, Static Kitten alebo TA450, skupinou, o ktorej sa predpokladá, že pôsobí pod iránskym ministerstvom spravodajských služieb a bezpečnosti. MuddyWater, ktorá pôsobí minimálne od roku 2017, má za sebou dlhú históriu špionáže a deštruktívnych akcií vrátane skorších kampaní POWERSTATS a použitia ransomvéru PowGoop počas operácie Quicksand.
Podľa zverejnených zistení skupina pokračuje v útokoch na izraelské ciele, medzi ktoré patria miestne orgány, letecká doprava, cestovný ruch, zdravotníctvo, telekomunikačné siete, poskytovatelia IT a malé a stredné podniky.
Ich vyvíjajúci sa plán: Od sociálneho inžinierstva k zneužívaniu slabých stránok VPN
Útočník sa zvyčajne spolieha na spear phishingové e-maily a zneužívanie známych zraniteľností VPN na získanie prístupu. Historicky tieto prieniky zahŕňali nasadenie legitímnych nástrojov na vzdialenú správu – čo je charakteristickým znakom operácií MuddyWater. Od mája 2024 však ich phishingové e-maily začali prinášať nenápadné zadné vrátka známe ako BugSleep (tiež nazývané MuddyRot), čo ukazuje posun smerom k prispôsobenejším nástrojom.
Širší arzenál skupiny je rozsiahly a zahŕňa Blackout, AnchorRat, CannonRat, Neshta a framework Sad C2, ktorý pomáha šíriť zavádzače ako TreasureBox a BlackPearl RAT.
Phishing zostáva prvým krokom
Najnovšia vlna útokov stále začína škodlivými e-mailami, ktoré obsahujú prílohy PDF. Tieto súbory PDF odkazujú obete na stiahnutie bežne používaných nástrojov na vzdialenú prácu, ako sú Atera, Level, PDQ a SimpleHelp. Keď útočníci získajú oporu, presúvajú sa k nasadeniu špecializovanejších komponentov.
Predstavujeme Foodera a MuddyVipera
Táto kampaň prominentne zobrazuje zavádzací program s názvom Fooder, ktorý je vytvorený na dešifrovanie a spustenie zadných vrátok MuddyViper založených na jazyku C/C++. Varianty Fooderu boli tiež videné pri distribúcii tunelovacích nástrojov go-socks5 a nástroja s otvoreným zdrojovým kódom HackBrowserData na zhromažďovanie údajov prehliadačov z rôznych platforiem (s výnimkou Safari).
Samotný MuddyViper poskytuje rozsiahlu kontrolu, ktorá umožňuje operátorom zhromažďovať systémové podrobnosti, spúšťať súbory a príkazy, presúvať údaje do a z nich a kradnúť prihlasovacie údaje systému Windows a informácie prehliadača. Podporuje 20 vstavaných príkazov na udržiavanie skrytého prístupu. Niektoré varianty Fooder sa maskujú ako klasická hra Snake a spoliehajú sa na oneskorené vykonávanie, aby sa vyhli detekcii, čo je technika, ktorá bola prvýkrát zaznamenaná v septembri 2025.
Ďalšie nástroje pozorované počas operácie
Výskumníci tiež zdokumentovali nasadenie niekoľkých podporných nástrojov určených na ochranu pred perzistenciou, krádežou poverení a zhromažďovaním údajov:
VAXOne – Zadné vrátka maskované ako Veeam, AnyDesk, Xerox alebo aktualizačný program OneDrive.
CE-Notes – Nástroj na krádež údajov prehliadača, ktorý je navrhnutý tak, aby obišiel šifrovanie aplikácií prehliadača Chrome krádežou šifrovacieho kľúča Local State.
Blub – stealer pre AC/C++, ktorý zhromažďuje prihlasovacie údaje z prehliadačov Chrome, Edge, Firefox a Opera.
LP-Notes – nástroj na zhromažďovanie poverení AC/C++, ktorý zobrazuje podvodnú výzvu zabezpečenia systému Windows, aby oklamal používateľov a prinútil ich zadať svoje prihlasovacie údaje.
Spolupráca s Lyceum: Objavuje sa operačná prekrytosť
Vyšetrovanie odhalilo, že aktivity spoločnosti MuddyWater sa prelínali s činnosťami spoločnosti Lyceum (známej aj ako Hexane, Spirlin alebo Siamesekitten), podskupiny OilRig (APT34), ktorá je aktívna v regionálnej kybernetickej špionáži minimálne od roku 2018.
Počas incidentov identifikovaných začiatkom roka 2025 spoločnosť MuddyWater pravdepodobne pôsobila ako počiatočný sprostredkovateľ prístupu v rámci izraelskej výrobnej organizácie nasadením nástrojov vzdialenej pracovnej plochy a prispôsobeného zavádzača Mimikatz. Ukradnuté prihlasovacie údaje potom spoločnosť Lyceum pravdepodobne využila na rozšírenie prístupu a prevzatie operačnej kontroly.
Znak rastúcej operačnej zrelosti
Zavedenie nových komponentov, najmä zavádzača Fooder a zadných vrátok MuddyViper, zdôrazňuje výrazný pokrok v technickej a operačnej sofistikovanosti MuddyWater. Skupina jednoznačne investuje do nenápadnejších mechanizmov perzistencie, efektívnejšej krádeže poverení a hlbších prieskumných schopností.
Kampaň podčiarkuje pretrvávajúcu a rozširujúcu sa hrozbu zo strany kybernetických operátorov spojených s Iránom. Ich kombinácia vlastného malvéru, nenápadných zavádzacích programov, legitímnych nástrojov na vzdialenú správu a spolupráce medzi skupinami naznačuje, že organizácie v regióne musia zostať vo zvýšenej ostražitosti a posilniť obranu proti čoraz komplexnejším stratégiám narušenia bezpečnosti.
