Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Útok ransomvéru MuddyWater pod falošnou vlajkou

Útok ransomvéru MuddyWater pod falošnou vlajkou

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Iránska štátom sponzorovaná skupina hrozby MuddyWater, sledovaná aj pod prezývkami ako Mango Sandstorm, Seedworm a Static Kitten, bola spojená so sofistikovanou ransomvérovou kampaňou, ktorú vyšetrovatelia opisujú ako operáciu pod falošnou vlajkou. Hoci sa prienik spočiatku podobal aktivite spojenej s konvenčnou operáciou Ransomware-as-a-Service (RaaS) s použitím značky ransomvéru Chaos, hlbšia analýza odhalila charakteristiky zodpovedajúce cielenému štátom sponzorovanému kybernetickému útoku maskovanému ako finančne motivované vydieranie.

Operácia, identifikovaná začiatkom roka 2026, sa vo veľkej miere spoliehala na sociálne inžinierstvo prostredníctvom služby Microsoft Teams. Útočníci viedli s obeťami vysoko interaktívne interakcie, pričom využívali funkciu zdieľania obrazovky na zhromažďovanie prihlasovacích údajov a manipuláciu s procesmi viacfaktorového overovania. Po získaní prístupu útočníci opustili tradičné taktiky ransomvéru, ako je rozsiahle šifrovanie súborov, a namiesto toho sa zamerali na krádež údajov, nenápadné pretrvávanie a dlhodobý prístup k sieti prostredníctvom nástrojov na vzdialenú správu.

Kyberkriminalita využívaná na zatajenie štátnych operácií

Výskumníci sa domnievajú, že kampaň odráža zámerné úsilie skupiny MuddyWater o zakrytie atribucie prijatím nástrojov a techník bežne spájaných s ekosystémami kyberkriminality. Skupina čoraz viac integruje komerčne dostupný podzemný malvér a platformy pre vzdialený prístup do svojich operácií vrátane nástrojov ako CastleRAT a Tsundere.

Táto taktika je v súlade s predchádzajúcimi kampaňami MuddyWater, ktoré kombinovali špionáž a deštruktívnu činnosť s operáciami v štýle ransomvéru. V roku 2020 sa skupina zamerala na významné izraelské organizácie pomocou zavádzača PowGoop na nasadenie deštruktívnej varianty ransomvéru Thanos. V roku 2023 spoločnosť Microsoft prepojila skupinu s DEV-1084, aktérom spojeným s osobnosťou DarkBit, počas útokov maskovaných ako incidenty ransomvéru. Koncom roka 2025 boli operátori prepojení s Iránom tiež podozriví z použitia ransomvéru Qilin proti izraelskej vládnej nemocnici.

Bezpečnostní výskumníci dospeli k záveru, že najnovšia kampaň pravdepodobne zahŕňala operátorov napojených na Irán, ktorí pôsobili prostredníctvom zavedených infraštruktúr kybernetickej kriminality a zároveň sledovali širšie geopolitické ciele. Využívanie siete Qilin a účasť v ekosystémoch napojených na ransomvér pravdepodobne poskytli operačné krytie, vierohodné popieranie a prístup k rozvinutým útočným schopnostiam a zároveň pomohli útočníkom vyhnúť sa zvýšenému izraelskému obrannému monitorovaniu.

Chaos RaaS: Rastúci ekosystém vydierania

Chaos sa objavil začiatkom roka 2025 ako operácia typu Ransomware-as-a-Service (Ransomvér ako služba), známa agresívnymi taktikami dvojitého vydierania. Skupina propagovala svoj partnerský program na podzemných fórach o kyberkriminalite, ako sú RAMP a RehubCom, a rýchlo rozšírila svoj operačný dosah.

Chaos kampane bežne kombinujú zahltenie e-mailami, phishing s hlasovou komunikáciou a útoky vydávania sa za pracovníkov IT podpory v Microsoft Teams. Obete sú manipulované tak, aby si nainštalovali aplikácie na vzdialený prístup, ako je Microsoft Quick Assist, čo útočníkom umožňuje vybudovať si oporu v podnikovom prostredí a následne eskalovať privilégiá, postupovať ďalej a nasadiť ransomvér.

Skupina tiež preukázala čoraz agresívnejšie modely vydierania:

  • Dvojité vydieranie prostredníctvom krádeže údajov a požiadaviek na výkupné
  • Trojité vydieranie zahŕňajúce hrozby distribuovaných útokov typu odmietnutie služby (DDoS)
  • Štvornásobné vydieracie taktiky, ktoré zahŕňajú vyhrážky kontaktovaním zákazníkov, partnerov alebo konkurentov s cieľom zintenzívniť tlak na obete

Do marca 2026 si Chaos na svojej platforme s únikmi informácií vyžiadal 36 obetí, pričom väčšina organizácií sídlila v Spojených štátoch. Medzi najviac cielenými odvetviami sa objavili sektory stavebníctva, výroby a obchodných služieb.

Anatómia intrúzie

Počas vyšetrovaného narušenia útočníci iniciovali externé konverzácie so zamestnancami cez Microsoft Teams, aby si získali dôveru a povzbudili ich k zdieľaniu obrazovky. Napadnuté používateľské účty boli následne zneužité na prieskum, perzistenciu, laterálny pohyb a únik údajov.

Počas pripojenia k systémom obete útočníci vykonávali prieskumné príkazy, pristupovali k súborom súvisiacim s VPN a nariaďovali používateľom manuálne zadávanie prihlasovacích údajov do lokálne vytvorených textových dokumentov. V niekoľkých prípadoch bol na posilnenie funkcií vzdialeného prístupu nainštalovaný AnyDesk.

Útočníci navyše použili protokol vzdialenej pracovnej plochy (RDP) na načítanie spustiteľného súboru s názvom „ms_upd.exe“ z externej adresy servera 172.86.126.208 pomocou utility curl. Po spustení malvér spustil viacstupňový infekčný reťazec určený na nasadenie ďalších škodlivých komponentov a nadviazanie trvalej komunikácie typu „command-and-control“.

Arsenál malvéru skrytý za kampaňou

Reťazec infekcie zahŕňal niekoľko odlišných komponentov malvéru, ktoré spolupracovali na udržaní perzistencie a vykonávaní vzdialených príkazov:

  • Súbor „ms_upd.exe“ (Stagecomp) zhromaždil systémové informácie a kontaktoval server príkazového riadiaceho systému, aby stiahol sekundárne užitočné dáta vrátane súborov „game.exe“, „WebView2Loader.dll“ a „visualwincomp.txt“.
  • Súbor „game.exe“ (Darkcomp) fungoval ako vlastný trójsky kôň pre vzdialený prístup, ktorý sa maskoval ako legitímna aplikácia Microsoft WebView2 založená na oficiálnom projekte WebView2APISample.
  • Súbor „WebView2Loader.dll“ slúžil ako legitímna závislosť vyžadovaná pre funkčnosť prehliadača Microsoft Edge WebView2.
  • Súbor „visualwincomp.txt“ obsahoval šifrované konfiguračné údaje, ktoré RAT používal na identifikáciu infraštruktúry velenia a riadenia.

Po aktivácii trójsky kôň pre vzdialený prístup nepretržite komunikoval so svojím príkazovým serverom každých 60 sekúnd, čo umožňovalo operátorom spúšťať skripty PowerShellu, spúšťať systémové príkazy, manipulovať so súbormi a spúšťať interaktívne relácie príkazového riadka.

Dôkazy spájajúce operáciu s MuddyWater

Pripisovanie MuddyWater bolo posilnené objavením certifikátu na podpisovanie kódu spojeného s menom „Donald Gay“, ktorý bol použitý na podpísanie vzorky malvéru „ms_upd.exe“. Rovnaký certifikát bol predtým spojený so malvérom MuddyWater vrátane variantu sťahovača CastleLoader známeho ako Fakeset.

Výskumníci poznamenali, že operácia preukázala významnú konvergenciu medzi štátom sponzorovanou špionážnou činnosťou a operačnými metódami kybernetickej kriminality. Integrácia brandingu ransomvéru, vyjednávaní o vydieraní a komerčne dostupných rámcov pre malvér skomplikovala úsilie o pripisovanie a odklonila obrannú pozornosť k aktivitám okamžitej reakcie na výkupné, a nie k dlhodobým mechanizmom pretrvávania zavedeným prostredníctvom nástrojov vzdialeného prístupu.

Prečo útok vynikal

Jedným z najneobvyklejších aspektov kampane bola zjavná absencia rozsiahleho šifrovania súborov napriek použitiu artefaktov ransomvéru Chaos. Táto odchýlka od štandardného správania ransomvéru silne naznačuje, že zložka ransomvéru fungovala primárne ako kamufláž alebo operačné zavádzanie, a nie ako primárny cieľ misie.

Kampaň tiež zdôrazňuje rastúci trend medzi iránskymi aktérmi hrozieb začleňovať nástroje kyberkriminality do štátom riadených operácií. Využívaním existujúcich podzemných infraštruktúr a ekosystémov škodlivého softvéru získavajú skupiny ako MuddyWater väčšiu operačnú flexibilitu, znižujú interné náklady na vývoj a výrazne komplikujú úsilie o atribuciu pre obrancov aj spravodajských analytikov.

Trendy

Najviac videné

Načítava...