MuddyViper Backdoor
Një valë e kohëve të fundit aktiviteti spiunazhi ka përqendruar një gamë të gjerë organizatash izraelite në akademi, inxhinieri, qeverisje lokale, prodhim, teknologji, transport dhe shërbime. Operacioni, që i atribuohet aktorëve iranianë të lidhur me shtetin, prezantoi një derë të fshehtë të panjohur më parë të quajtur MuddyViper, duke sinjalizuar një përshkallëzim të ri në taktikat e grupit. Një firmë teknologjike me seli në Egjipt u kap gjithashtu në shënjestër, me fushatën që zgjati nga fundi i shtatorit 2024 deri në mesin e marsit 2025.
Tabela e Përmbajtjes
Një kundërshtar i njohur me aftësi në zgjerim
Sulmet janë lidhur me MuddyWater, i njohur edhe si Mango Sandstorm, Static Kitten ose TA450, një grup që vlerësohet se vepron nën varësinë e Ministrisë së Inteligjencës dhe Sigurisë së Iranit. Aktiv që nga të paktën viti 2017, MuddyWater ka një histori të gjatë spiunazhi dhe veprimesh shkatërruese, duke përfshirë fushatat e mëparshme POWERSTATS dhe përdorimin e ransomware-it PowGoop gjatë Operacionit Quicksand.
Sipas gjetjeve të publikuara, grupi vazhdon të godasë objektiva izraelite që përfshijnë autoritetet lokale, transportin ajror, turizmin, shërbimet shëndetësore, rrjetet e telekomunikacionit, ofruesit e IT-së dhe ndërmarrjet e vogla dhe të mesme.
Manuali i tyre në zhvillim: Nga Inxhinieria Sociale te Shfrytëzimi i Dobësive të VPN-së
Aktori kërcënues zakonisht mbështetet në email-et "spear-phishing" dhe abuzimin me dobësitë e njohura të VPN-së për të fituar hyrje. Historikisht, këto ndërhyrje përfshinin vendosjen e mjeteve legjitime të administrimit në distancë - një shenjë dalluese e operacioneve të MuddyWater. Megjithatë, që nga maji i vitit 2024, email-et e tyre "phishing" kanë filluar të ofrojnë një derë të fshehtë të njohur si BugSleep (i quajtur edhe MuddyRot), duke treguar një zhvendosje drejt mjeteve më të personalizuara.
Arsenali më i gjerë i grupit është i gjerë dhe përfshin Blackout, AnchorRat, CannonRat, Neshta dhe framework-un Sad C2, i cili ndihmon në përhapjen e ngarkuesve si TreasureBox dhe BlackPearl RAT.
Phishing mbetet hapi i parë
Vala e fundit e sulmeve ende fillon me email-e keqdashëse që përmbajnë bashkëngjitje PDF. Këto PDF i drejtojnë viktimat drejt shkarkimeve për mjete të përdorura gjerësisht në distancë, të tilla si Atera, Level, PDQ dhe SimpleHelp. Pasi të fitohet një pikëmbështetje, sulmuesit lëvizin për të vendosur komponentë më të specializuar.
Prezantojmë Fooder dhe MuddyViper
Kjo fushatë paraqet në mënyrë të spikatur një program ngarkues të quajtur Fooder, i ndërtuar për të deshifruar dhe ekzekutuar derën e pasme MuddyViper të bazuar në C/C++. Variante të Fooder janë parë gjithashtu duke shpërndarë shërbimet e tunelimit go-socks5 dhe mjetin me burim të hapur HackBrowserData për të mbledhur të dhëna të shfletuesit nga platforma të shumta (me përjashtim të Safari).
Vetë MuddyViper ofron kontroll të gjerë, duke u mundësuar operatorëve të mbledhin detaje të sistemit, të ekzekutojnë skedarë dhe komanda, të lëvizin të dhëna brenda dhe jashtë, dhe të vjedhin kredencialet e Windows dhe informacionin e shfletuesit. Ai mbështet 20 komanda të integruara për ruajtjen e aksesit të fshehur. Disa variante të Fooder maskohen si loja klasike Snake dhe mbështeten në ekzekutimin e vonuar për të anashkaluar zbulimin, një teknikë e vërejtur për herë të parë në shtator 2025.
Mjete shtesë të vëzhguara në operacion
Studiuesit dokumentuan gjithashtu vendosjen e disa shërbimeve mbështetëse të dizajnuara për qëndrueshmëri, vjedhje kredencialesh dhe mbledhje të të dhënave:
VAXOne – Një derë e fshehtë që maskohet si Veeam, AnyDesk, Xerox ose përditësuesi i OneDrive.
CE-Notes – Një mjet për vjedhjen e të dhënave të shfletuesit, i projektuar për të anashkaluar enkriptimin e aplikacioneve të Chrome duke vjedhur çelësin e enkriptimit të Shtetit Lokal.
Blub – Vjedhës i AC/C++ që mbledh të dhëna hyrjeje nga Chrome, Edge, Firefox dhe Opera.
LP-Notes – Mjet për mbledhjen e kredencialeve AC/C++ që shfaq një kërkesë mashtruese të Windows Security për të mashtruar përdoruesit që të fusin të dhënat e tyre të hyrjes.
Bashkëpunimi me Lyceum: Shfaqet një mbivendosje operacionale
Hetimi zbuloi se aktiviteti i MuddyWater kryqëzohej me operacionet e Lyceum (i njohur edhe si Hexane, Spirlin ose Siamesekitten), një nëngrup i OilRig (APT34) aktiv në spiunazhin kibernetik rajonal që nga të paktën viti 2018.
Gjatë incidenteve të identifikuara në fillim të vitit 2025, MuddyWater ka të ngjarë të veprojë si një ndërmjetës fillestar i aksesit brenda një organizate prodhuese izraelite duke vendosur mjete për desktop në distancë dhe një ngarkues të personalizuar Mimikatz. Kredencialet e vjedhura me shumë gjasa janë përdorur më pas nga Lyceum për të zgjeruar aksesin dhe për të marrë kontrollin operacional.
Një shenjë e rritjes së pjekurisë operacionale
Futja e komponentëve të rinj, veçanërisht ngarkuesi Fooder dhe dera e pasme MuddyViper, nxjerr në pah një përparim të dukshëm në sofistikimin teknik dhe operacional të MuddyWater. Grupi po investon qartë në mekanizma më të fshehtë të qëndrueshmërisë, vjedhje më efikase të kredencialeve dhe aftësi më të thella zbulimi.
Fushata nënvizon një kërcënim të vazhdueshëm dhe në zgjerim nga operatorët kibernetikë të lidhur me Iranin. Përzierja e tyre e programeve keqdashëse të personalizuara, ngarkuesve të fshehtë, mjeteve legjitime të administrimit në distancë dhe bashkëpunimit ndërgrupor sugjeron që organizatat në rajon duhet të mbeten në gatishmëri të shtuar dhe të forcojnë mbrojtjen kundër strategjive gjithnjë e më komplekse të ndërhyrjes.
