Zadnja vrata MuddyViper
Nedavni val vohunskih dejavnosti se je osredotočil na širok spekter izraelskih organizacij v akademskih krogih, inženirstvu, lokalni upravi, proizvodnji, tehnologiji, prometu in komunalnih storitvah. Operacija, ki jo pripisujejo iranskim državnim akterjem, je uvedla prej neznana zadnja vrata, imenovana MuddyViper, kar je nakazovalo novo stopnjevanje taktik skupine. V mreži se je znašlo tudi eno tehnološko podjetje s sedežem v Egiptu, kampanja pa je potekala od konca septembra 2024 do sredine marca 2025.
Kazalo
Znani nasprotnik z naraščajočimi zmogljivostmi
Napadi so bili povezani z MuddyWater, znano tudi kot Mango Sandstorm, Static Kitten ali TA450, skupino, za katero so ocenili, da deluje pod okriljem iranskega ministrstva za obveščevalne dejavnosti in varnost. MuddyWater, ki je aktivna vsaj od leta 2017, ima dolgo zgodovino vohunjenja in uničujočih dejanj, vključno s prejšnjimi kampanjami POWERSTATS in uporabo izsiljevalske programske opreme PowGoop med operacijo Quicksand.
Glede na objavljene ugotovitve skupina še naprej napada izraelske cilje, ki segajo od lokalnih oblasti, zračnega prometa, turizma, zdravstvenih storitev, telekomunikacijskih omrežij, ponudnikov IT in malih in srednje velikih podjetij.
Njihov razvijajoči se priročnik: od socialnega inženiringa do izkoriščanja slabosti VPN-ja
Grožnje se običajno za vstop zanašajo na lažna e-poštna sporočila in zlorabo znanih ranljivosti VPN. V preteklosti so ti vdori vključevali namestitev legitimnih orodij za oddaljeno upravljanje – kar je značilnost delovanja MuddyWater. Od maja 2024 pa njihova lažna e-poštna sporočila začnejo ponujati prikrita zadnja vrata, znana kot BugSleep (imenovana tudi MuddyRot), kar kaže na premik k bolj prilagojenim orodjem.
Širši arzenal skupine je obsežen in vključuje Blackout, AnchorRat, CannonRat, Neshta in ogrodje Sad C2, ki pomaga pri širjenju nalagalnikov, kot sta TreasureBox in BlackPearl RAT.
Lažno predstavljanje ostaja prvi korak
Najnovejši val napadov se še vedno začne z zlonamernimi e-poštnimi sporočili, ki vsebujejo priloge PDF. Te datoteke PDF žrtve usmerjajo k prenosom pogosto uporabljenih orodij za oddaljeno uporabo, kot so Atera, Level, PDQ in SimpleHelp. Ko si napadalci pridobijo oporo, se lotijo namestitve bolj specializiranih komponent.
Predstavljamo Fooderja in MuddyViperja
V tej kampanji je izrazito prisoten nalagalnik z imenom Fooder, ki je bil zgrajen za dešifriranje in izvajanje zadnjih vrat MuddyViper, ki temeljijo na C/C++. Opažene so bile tudi različice Fooderja, ki distribuirajo pripomočke za tuneliranje go-socks5 in odprtokodno orodje HackBrowserData za zbiranje podatkov brskalnikov s številnih platform (z izjemo Safarija).
MuddyViper sam po sebi omogoča obsežen nadzor, ki operaterjem omogoča zbiranje sistemskih podrobnosti, izvajanje datotek in ukazov, premikanje podatkov noter in ven ter krajo poverilnic za Windows in podatkov brskalnika. Podpira 20 vgrajenih ukazov za ohranjanje skritega dostopa. Nekatere različice Fooderja se prikrijejo kot klasična igra Snake in se zanašajo na zakasnjeno izvajanje, da bi se izognile zaznavanju, tehnika, ki je bila prvič opažena septembra 2025.
Dodatna orodja, opažena med operacijo
Raziskovalci so dokumentirali tudi uvedbo več podpornih pripomočkov, zasnovanih za ohranjanje podatkov, krajo poverilnic in zbiranje podatkov:
VAXOne – Zakulisje, ki se maskira kot Veeam, AnyDesk, Xerox ali program za posodabljanje OneDrive.
CE-Notes – Orodje za krajo podatkov brskalnika, zasnovano za zaobhajanje šifriranja aplikacije v Chromu s krajo šifrirnega ključa Local State.
Blub – program za krajo AC/C++, ki zbira prijavne podatke iz brskalnikov Chrome, Edge, Firefox in Opera.
LP-Notes – orodje za pridobivanje poverilnic AC/C++, ki prikazuje lažni varnostni poziv sistema Windows, da bi uporabnike zavedlo do vnosa prijavnih podatkov.
Sodelovanje z Lyceumom: Pojavlja se operativno prekrivanje
Preiskava je pokazala, da se je dejavnost MuddyWaterja prepletala z delovanjem podjetja Lyceum (znanega tudi kot Hexane, Spirlin ali Siamesekitten), podskupine OilRig (APT34), ki je dejavna na področju regionalnega kibernetskega vohunjenja vsaj od leta 2018.
Med incidenti, odkritimi v začetku leta 2025, je MuddyWater verjetno deloval kot začetni posrednik dostopa znotraj izraelske proizvodne organizacije z uvedbo orodij za oddaljeno namizje in prilagojenega nalagalnika Mimikatz. Ukradene poverilnice je nato Lyceum verjetno izkoristil za razširitev dostopa in prevzem operativnega nadzora.
Znak vse večje operativne zrelosti
Uvedba novih komponent, zlasti nalagalnika Fooder in zadnjih vrat MuddyViper, poudarja opazen napredek v tehnični in operativni dovršenosti MuddyWaterja. Skupina očitno vlaga v prikritejše mehanizme za ohranjanje varnosti, učinkovitejšo krajo poverilnic in globlje izvidniške zmogljivosti.
Kampanja poudarja nenehno in naraščajočo grožnjo kibernetskih operaterjev, povezanih z Iranom. Njihova kombinacija prilagojene zlonamerne programske opreme, prikritih nalagalnikov, legitimnih orodij za oddaljeno upravljanje in sodelovanja med skupinami kaže, da morajo organizacije v regiji ostati v večji pripravljenosti in okrepiti obrambo pred vse bolj kompleksnimi strategijami vdorov.
