Napad izsiljevalske programske opreme MuddyWater z lažno zastavo

Iranska državno sponzorirana skupina za grožbe MuddyWater, ki jo spremljajo tudi pod psevdonimi Mango Sandstorm, Seedworm in Static Kitten, je bila povezana s prefinjeno kampanjo izsiljevalske programske opreme, ki jo preiskovalci opisujejo kot operacijo pod lažno zastavo. Čeprav je bil vdor sprva podoben dejavnosti, povezani s konvencionalno operacijo izsiljevalske programske opreme kot storitve (RaaS) z uporabo blagovne znamke izsiljevalske programske opreme Chaos, je globlja analiza razkrila značilnosti, ki so skladne s ciljno usmerjenim državno sponzoriranim kibernetskim napadom, prikritim kot finančno motivirano izsiljevanje.

Operacija, odkrita v začetku leta 2026, se je močno zanašala na socialni inženiring prek storitve Microsoft Teams. Napadalci so z žrtvami izvajali zelo interaktivne seje interakcije, pri čemer so izkoriščali funkcijo deljenja zaslona za zbiranje poverilnic in manipulacijo postopkov večfaktorske avtentikacije. Po pridobitvi dostopa so akterji grožnje opustili tradicionalne taktike izsiljevalske programske opreme, kot je šifriranje datotek velikega obsega, in se namesto tega osredotočili na krajo podatkov, prikrito vztrajanje in dolgoročen dostop do omrežja prek orodij za oddaljeno upravljanje.

Kibernetska kriminaliteta, uporabljena za prikrivanje državnih operacij

Raziskovalci menijo, da kampanja odraža namerno prizadevanje skupine MuddyWater, da bi prikrila pripisovanje z uporabo orodij in tehnik, ki so običajno povezane s kibernetsko kriminalnimi ekosistemi. Skupina je v svoje delovanje vse bolj integrirala komercialno dostopno podzemno zlonamerno programsko opremo in ogrodja za oddaljeni dostop, vključno z orodji, kot sta CastleRAT in Tsundere.

Ta taktika se ujema s prejšnjimi kampanjami MuddyWater, ki so vohunjenje in destruktivne dejavnosti kombinirale z operacijami v slogu izsiljevalske programske opreme. Leta 2020 je skupina ciljala na večje izraelske organizacije z uporabo nalagalnika PowGoop za namestitev destruktivne različice izsiljevalske programske opreme Thanos. Leta 2023 je Microsoft skupino med napadi, prikritimi kot incidenti z izsiljevalsko programsko opremo, povezal z DEV-1084, akterjem, povezanim z osebnostjo DarkBit. Do konca leta 2025 so bili tudi z Iranom povezani operaterji osumljeni uporabe izsiljevalske programske opreme Qilin proti izraelski vladni bolnišnici.

Varnostni raziskovalci so zaključili, da je v najnovejšo kampanjo verjetno bilo vključenih operaterjev, povezanih z Iranom, ki delujejo prek uveljavljenih infrastruktur kibernetske kriminalitete, hkrati pa zasledujejo širše geopolitične cilje. Uporaba Qilina in sodelovanje v ekosistemih, povezanih z izsiljevalsko programsko opremo, sta verjetno zagotavljala operativno kritje, verjetno zanikanje in dostop do zrelih napadalnih zmogljivosti, hkrati pa sta napadalcem pomagala izogniti se okrepljenemu izraelskemu obrambnemu nadzoru.

Chaos RaaS: Rastoči izsiljevalski ekosistem

Chaos se je pojavil v začetku leta 2025 kot operacija Ransomware-as-a-Service, znana po agresivnih taktikah dvojnega izsiljevanja. Skupina je promovirala svoj partnerski program na podzemnih forumih za kibernetsko kriminaliteto, kot sta RAMP in RehubCom, in hitro razširila svoj operativni doseg.

Kampanje kaosa običajno združujejo poplavljanje e-pošte, lažno predstavljanje z glasovnimi sporočili in napade z lažnim predstavljanjem v storitvi Microsoft Teams, pri katerih se akterji grožnje predstavljajo kot osebje za podporo IT. Žrtve so zmanipulirane, da namestijo aplikacije za oddaljeni dostop, kot je Microsoft Quick Assist, kar napadalcem omogoča, da se utrdijo v poslovnih okoljih, preden povečajo privilegije, se premaknejo stran in namestijo koristne tovore izsiljevalske programske opreme.

Skupina je pokazala tudi vse bolj agresivne modele izsiljevanja:

• Dvojno izsiljevanje s krajo podatkov in zahtevami po odkupnini
• Trojno izsiljevanje, ki vključuje grožnje porazdeljenih napadov zavrnitve storitve (DDoS)
• Četrtirni izsiljevalski ukrepi, ki vključujejo grožnje s stikom s strankami, partnerji ali konkurenti za okrepitev pritiska na žrtve

Do marca 2026 je Chaos na svoji platformi za razkritje informacij zahteval 36 žrtev, večina organizacij pa se je nahajala v Združenih državah Amerike. Gradbeni, proizvodni in poslovni storitveni sektorji so se izkazali za med najbolj tarčami.

Anatomija vdora

Med preiskovanim vdorom so napadalci sprožili zunanje pogovore v storitvi Microsoft Teams z zaposlenimi, da bi si pridobili zaupanje in spodbudili seje deljenja zaslona. Ogroženi uporabniški računi so bili nato izkoriščeni za izvidovanje, vztrajnost, lateralno premikanje in izkrcanje podatkov.

Medtem ko so bili povezani z žrtvinimi sistemi, so napadalci izvajali izvidniške ukaze, dostopali do datotek, povezanih z VPN, in uporabnikom naročili, naj ročno vnesejo poverilnice v lokalno ustvarjene besedilne dokumente. V več primerih je bil nameščen AnyDesk za izboljšanje zmogljivosti oddaljenega dostopa.

Grožnje so dodatno uporabile protokol oddaljenega namizja (RDP), da so s pripomočkom curl z zunanjega strežnika na naslovu 172.86.126.208 pridobile izvedljivo datoteko z imenom »ms_upd.exe«. Po zagonu je zlonamerna programska oprema sprožila večstopenjsko verigo okužbe, namenjeno namestitvi dodatnih zlonamernih komponent in vzpostavitvi trajne komunikacije med ukazi in nadzorom.

Arsenal zlonamerne programske opreme za kampanjo

Veriga okužbe je vključevala več različnih komponent zlonamerne programske opreme, ki so delovale skupaj za ohranjanje obstojnosti in izvajanje oddaljenih ukazov:

• Datoteka »ms_upd.exe« (Stagecomp) je zbrala sistemske podatke in se povezala s strežnikom za upravljanje in nadzor, da bi prenesla sekundarne koristne podatke, vključno z datotekami »game.exe«, »WebView2Loader.dll« in »visualwincomp.txt«.
• Datoteka »game.exe« (Darkcomp) je delovala kot trojanski konj za oddaljeni dostop po meri, ki se je maskiral kot legitimna aplikacija Microsoft WebView2, ki je temeljila na uradnem projektu WebView2APISample.

• Datoteka »WebView2Loader.dll« je služila kot legitimna odvisnost, potrebna za funkcionalnost brskalnika Microsoft Edge WebView2.

• Datoteka »visualwincomp.txt« je vsebovala šifrirane konfiguracijske podatke, ki jih je RAT uporabljal za identifikacijo infrastrukture za upravljanje in nadzor.

Ko je bil trojanski konj za oddaljeni dostop aktiven, je neprekinjeno komuniciral s svojim ukaznim strežnikom vsakih 60 sekund, kar je operaterjem omogočalo izvajanje skriptov PowerShell, zagon sistemskih ukazov, upravljanje datotek in ustvarjanje interaktivnih sej ukazne vrstice.

Dokazi, ki povezujejo operacijo z MuddyWaterjem

Pripisovanje MuddyWaterju je bilo okrepljeno z odkritjem potrdila za podpisovanje kode, povezanega z »Donaldom Gayem«, ki je bilo uporabljeno za podpis vzorca zlonamerne programske opreme »ms_upd.exe«. Isto potrdilo je bilo že prej povezano z zlonamerno programsko opremo MuddyWater, vključno z različico programa za prenos CastleLoader, znano kot Fakeset.

Raziskovalci so ugotovili, da je operacija pokazala znatno konvergenco med državno sponzoriranimi vohunskimi dejavnostmi in operativnimi metodami kibernetskega kriminala. Integracija blagovne znamke izsiljevalske programske opreme, pogajanj o izsiljevanju in komercialno dostopnih ogrodij zlonamerne programske opreme je zapletla prizadevanja za pripisovanje in preusmerila obrambno pozornost k takojšnjim dejavnostim odziva na odkupnino namesto k dolgoročnim mehanizmom vztrajnosti, vzpostavljenim z orodji za oddaljeni dostop.

Zakaj je napad izstopal

Eden najbolj nenavadnih vidikov kampanje je bila očitna odsotnost razširjenega šifriranja datotek kljub uporabi artefaktov izsiljevalske programske opreme Chaos. To odstopanje od standardnega vedenja izsiljevalske programske opreme močno kaže na to, da je komponenta izsiljevalske programske opreme delovala predvsem kot kamuflaža ali operativna zavajajoča metoda in ne kot primarni cilj misije.

Kampanja poudarja tudi naraščajoč trend med iranskimi akterji groženj, da v državne operacije vključujejo orodja za kibernetsko kriminaliteto. Z izkoriščanjem obstoječih podzemnih infrastruktur in ekosistemov zlonamerne programske opreme skupine, kot je MuddyWater, pridobijo večjo operativno fleksibilnost, zmanjšajo notranje stroške razvoja in znatno otežijo prizadevanja za atribucijo tako za zagovornike kot za obveščevalne analitike.