Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) Napadalna kampanja Operacija Olalampo

Napadalna kampanja Operacija Olalampo

Do leta Mezo leta Napredna trajna grožnja (APT), Zlonamerna programska oprema
Prevedi v:

Iranska državna skupina za kibernetsko grožnjo MuddyWater, znana tudi kot Earth Vetala, Mango Sandstorm in MUDDYCOAST, je začela novo kibernetsko kampanjo z imenom Operacija Olalampo. Operacija je bila usmerjena predvsem proti organizacijam in posameznikom v regiji Bližnjega vzhoda in Severne Afrike (MENA).

Kampanja, ki je bila prvič zaznana 26. januarja 2026, uvaja več novih družin zlonamerne programske opreme, hkrati pa ponovno uporablja komponente, ki so bile prej povezane s skupino. Varnostni raziskovalci poročajo, da aktivnost odraža nadaljevanje ustaljenih operativnih vzorcev MuddyWater in krepi njeno vztrajno prisotnost v regiji META (Bližnji vzhod, Turčija in Afrika).

Vektorji okužb in napadalne verige

Kampanja sledi znani metodologiji vdorov, ki je skladna s prejšnjimi operacijami MuddyWater. Začetni dostop se običajno začne z lažnimi e-poštnimi sporočili, ki vsebujejo zlonamerne priloge Microsoft Officea. Ti dokumenti vsebujejo makro kodo, zasnovano za dekodiranje in izvajanje koristnih nalog v sistemu žrtve, kar napadalcem na koncu omogoči oddaljeni nadzor.

Opaženih je bilo več različic napada:

  • Zlonamerni dokument Microsoft Excel pozove žrtve, da omogočijo makre, kar sproži namestitev CHAR, ki temelji na Rustu.
  • Sorodna različica ponuja program za prenos GhostFetch, ki nato namesti vsadek GhostBackDoor.
  • Tretja veriga okužb uporablja tematske vabe, kot so letalske vozovnice ali operativna poročila, namesto da bi se izdajala za bližnjevzhodno energetsko in pomorsko podjetje, za distribucijo prenosnika HTTP_VIP. Ta različica na koncu namesti aplikacijo za oddaljeno namizje AnyDesk za trajen dostop.

Poleg tega je bilo opaženo, da skupina izkorišča na novo odkrite ranljivosti v strežnikih, dostopnih do interneta, za pridobitev začetnega dostopa do ciljnih okolij.

Arsenal zlonamerne programske opreme: orodja po meri in modularni vsadki

Operacija Olalampo se opira na strukturiran, večstopenjski ekosistem zlonamerne programske opreme, zasnovan za izvidovanje, vztrajnost in oddaljeni nadzor. Glavna orodja, opredeljena v tej kampanji, vključujejo:

GhostFetch – program za prenos v prvi fazi, ki profilira ogrožene sisteme s preverjanjem gibanja miške in ločljivosti zaslona, zaznavanjem orodij za odpravljanje napak, prepoznavanjem artefaktov virtualnih strojev in preverjanjem protivirusne programske opreme. Pridobi in izvede sekundarne koristne naklade neposredno v pomnilniku.

GhostBackDoor – Vsadek druge stopnje, ki ga zagotavlja GhostFetch. Omogoča interaktivni dostop do lupine, operacije branja/pisanja datotek in lahko ponovno zažene GhostFetch.

HTTP_VIP – Izvorni program za prenos, ki izvaja sistemsko izvidovanje in se za preverjanje pristnosti poveže z zunanjo domeno »codefusiontech(dot)org«. AnyDesk namesti s strežnika za upravljanje in nadzor (C2). Novejša različica izboljšuje funkcionalnost z zbiranjem podatkov o žrtvah, interaktivnim izvajanjem lupine, prenosi datotek, zajemanjem v odložišče in nastavljivimi intervali označevanja.

CHAR – Zadnja vrata, ki temeljijo na Rustu in jih nadzoruje bot v storitvi Telegram, identificiran kot »Olalampo« (uporabniško ime: stager_51_bot). Podpirajo navigacijo po imenikih in izvajanje ukazov cmd.exe ali PowerShell.

Funkcionalnost PowerShell, povezana s CHAR, omogoča izvajanje obratnega proxyja SOCKS5 ali dodatnih zadnjih vrat z imenom Kalim. Prav tako omogoča izkrcanje podatkov brskalnika in zažene izvedljive datoteke z oznakama 'sh.exe' in 'gshdoc_release_X64_GUI.exe'.

Razvoj s pomočjo umetne inteligence in prekrivanje kode

Tehnična analiza izvorne kode CHAR je razkrila znake razvoja s pomočjo umetne inteligence. Prisotnost emojijev v nizih za odpravljanje napak se ujema s prejšnjimi ugotovitvami, ki jih je razkril Google, ki je poročal, da MuddyWater eksperimentira z generativnimi orodji umetne inteligence za izboljšanje razvoja zlonamerne programske opreme, zlasti za prenos datotek in zmogljivosti oddaljenega izvajanja.

Nadaljnja analiza kaže strukturne in okoljske podobnosti med CHAR in zlonamerno programsko opremo BlackBeard, ki temelji na Rustu, znano tudi kot Archer RAT ali RUSTRIC, ki jo je skupina predhodno uporabljala proti subjektom na Bližnjem vzhodu. Ta prekrivanja kažejo na skupne razvojne poti in iterativno izpopolnjevanje orodij.

Širjenje zmogljivosti in strateške namere

MuddyWater ostaja vztrajen in razvijajoč se akter grožnje v regiji META. Integracija razvoja s pomočjo umetne inteligence, nenehno izpopolnjevanje zlonamerne programske opreme po meri, izkoriščanje javno dostopnih ranljivosti in diverzifikacija infrastrukture C2 skupaj kažejo na dolgoročno zavezanost k operativni širitvi.

Operacija Olalampo poudarja stalno osredotočenost skupine na tarče v regiji Bližnjega vzhoda in Severne Afrike ter izpostavlja vse večjo dovršenost njenih zmogljivosti za vdore. Organizacije, ki delujejo v regiji, bi morale ohranjati večjo budnost, uveljavljati makro omejitve, spremljati odhodno komunikacijo poveljevanja in nadzora (C2) ter dati prednost pravočasnemu odpravljanju ranljivosti, da bi ublažile izpostavljenost tej spreminjajoči se krajini groženj.

V trendu

Prevara z e-poštnimi sporočili o nadomestilu za...

Lažno predstavljanje, Neželena pošta
V današnjem okolju groženj je bistvenega pomena ostati pozoren pri soočanju z nepričakovanimi e-poštnimi sporočili. Kibernetski kriminalci se pogosto izdajajo za ugledne institucije, da bi si pridobili zaupanje in manipulirali s prejemniki, da razkrijejo občutljive podatke ali pošljejo denar. Tako imenovano e-poštno sporočilo o nadomestilu banke Federal Equity Trust je en tak primer. Ta...

Najbolj gledan

Nalaganje...