Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Sulm Ransomware me Flag të Rremë MuddyWater

Sulm Ransomware me Flag të Rremë MuddyWater

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Grupi i kërcënimeve iraniane, MuddyWater, i sponsorizuar nga shteti, i gjurmuar gjithashtu me pseudonime të tilla si Mango Sandstorm, Seedworm dhe Static Kitten, është lidhur me një fushatë të sofistikuar ransomware që hetuesit e përshkruajnë si një operacion me flamur të rremë. Megjithëse ndërhyrja fillimisht i ngjante aktivitetit të lidhur me një operacion konvencional Ransomware-as-a-Service (RaaS) duke përdorur markën Chaos ransomware, analiza më e thellë zbuloi karakteristika në përputhje me një sulm kibernetik të synuar të sponsorizuar nga shteti të maskuar si zhvatje e motivuar financiarisht.

Operacioni, i identifikuar në fillim të vitit 2026, mbështetej shumë në inxhinierinë sociale përmes Microsoft Teams. Sulmuesit kryen seanca angazhimi shumë interaktive me viktimat, duke shfrytëzuar funksionalitetin e ndarjes së ekranit për të mbledhur kredencialet dhe për të manipuluar proceset e vërtetimit shumëfaktorësh. Pasi morën akses, aktorët kërcënues braktisën taktikat tradicionale të ransomware-it, siç është enkriptimi i skedarëve në shkallë të gjerë, dhe në vend të kësaj u përqendruan në vjedhjen e të dhënave, këmbënguljen e fshehtë dhe aksesin afatgjatë në rrjet përmes shërbimeve të menaxhimit në distancë.

Mjetet e krimit kibernetik përdoren për të fshehur operacionet shtetërore

Studiuesit besojnë se fushata pasqyron një përpjekje të qëllimshme nga MuddyWater për të fshehur atribuimin duke përdorur mjete dhe teknika që zakonisht shoqërohen me ekosistemet kiberkriminale. Grupi ka integruar gjithnjë e më shumë në operacionet e tij programe keqdashëse nëntokësore dhe korniza aksesi në distancë, të disponueshme në treg, duke përfshirë mjete të tilla si CastleRAT dhe Tsundere.

Kjo taktikë përputhet me fushatat e mëparshme MuddyWater që përzienin spiunazhin dhe aktivitetin shkatërrues me operacione të stilit ransomware. Në vitin 2020, grupi shënjestroi organizata të mëdha izraelite duke përdorur ngarkuesin PowGoop për të vendosur një variant shkatërrues të ransomware-it Thanos. Në vitin 2023, Microsoft e lidhi grupin me DEV-1084, një aktor të lidhur me personazhin DarkBit, gjatë sulmeve të maskuara si incidente ransomware. Deri në fund të vitit 2025, operatorët e lidhur me Iranin dyshoheshin gjithashtu se kishin përdorur ransomware-in Qilin kundër një spitali qeveritar izraelit.

Studiuesit e sigurisë arritën në përfundimin se fushata e fundit ka të ngjarë të përfshijë operatorë të lidhur me Iranin që veprojnë përmes infrastrukturave të vendosura të krimit kibernetik, ndërsa ndjekin objektiva më të gjera gjeopolitike. Përdorimi i Qilin dhe pjesëmarrja në ekosistemet e lidhura me ransomware ka të ngjarë të kenë siguruar mbulim operacional, mohim të besueshëm dhe qasje në aftësi të zhvilluara sulmi, ndërsa i kanë ndihmuar sulmuesit të shmangin monitorimin e shtuar mbrojtës izraelit.

Chaos RaaS: Një ekosistem zhvatjeje në rritje

Kaosi u shfaq në fillim të vitit 2025 si një operacion Ransomware-as-a-Service i njohur për taktikat agresive të zhvatjes së dyfishtë. Grupi promovoi programin e tij të degëve në forume të fshehta të krimit kibernetik si RAMP dhe RehubCom dhe zgjeroi me shpejtësi shtrirjen e tij operacionale.

Fushatat e kaosit zakonisht kombinojnë përmbytjet me email, phishing-un me zë dhe sulmet e imitimit të Microsoft Teams, në të cilat aktorët kërcënues paraqiten si staf mbështetës të IT-së. Viktimat manipulohen për të instaluar aplikacione me akses në distancë si Microsoft Quick Assist, duke u mundësuar sulmuesve të krijojnë terren brenda mjediseve të korporatave përpara se të përshkallëzojnë privilegjet, të lëvizin anash dhe të vendosin ngarkesa ransomware.

Grupi ka demonstruar gjithashtu modele gjithnjë e më agresive të zhvatjes:

  • Zhvatje e dyfishtë përmes vjedhjes së të dhënave dhe kërkesave për shpërblim
  • Zhvatje e trefishtë që përfshin kërcënime për sulme të shpërndara të mohimit të shërbimit (DDoS)
  • Taktika të katërfishta zhvatjeje që përfshijnë kërcënime për të kontaktuar klientët, partnerët ose konkurrentët për të intensifikuar presionin mbi viktimat

Deri në mars të vitit 2026, Chaos kishte pretenduar 36 viktima në platformën e saj të rrjedhjes së informacionit, me shumicën e organizatave të vendosura në Shtetet e Bashkuara. Sektorët e ndërtimit, prodhimit dhe shërbimeve të biznesit dukeshin ndër industritë më të shënjestruara.

Anatomia e Ndërhyrjes

Gjatë ndërhyrjes së hetuar, sulmuesit nisën biseda të jashtme të Microsoft Teams me punonjësit për të fituar besim dhe për të inkurajuar seancat e ndarjes së ekranit. Llogaritë e përdoruesve të kompromentuara u përdorën më pas për zbulim, këmbëngulje, lëvizje anësore dhe nxjerrje të dhënash.

Ndërsa ishin të lidhur me sistemet e viktimave, sulmuesit ekzekutuan komanda zbulimi, aksesuan skedarë të lidhur me VPN dhe udhëzuan përdoruesit të futnin manualisht kredencialet në dokumentet tekstuale të krijuara lokalisht. Në disa raste, AnyDesk u instalua për të forcuar aftësitë e aksesit në distancë.

Aktorët kërcënues përdorën gjithashtu Protokollin e Desktopit në Distancë (RDP) për të marrë një skedar ekzekutues të quajtur "ms_upd.exe" nga adresa e serverit të jashtëm 172.86.126.208 duke përdorur programin curl. Pasi u lançua, malware filloi një zinxhir infeksioni shumëfazor të projektuar për të vendosur komponentë shtesë keqdashës dhe për të krijuar komunikime të vazhdueshme komande dhe kontrolli.

Arsenali i programeve keqdashëse fshihet pas fushatës

Zinxhiri i infeksionit përfshinte disa komponentë të dallueshëm të malware-it që punonin së bashku për të ruajtur qëndrueshmërinë dhe për të ekzekutuar komanda në distancë:

  • 'ms_upd.exe' (Stagecomp) mblodhi informacionin e sistemit dhe kontaktoi një server komande dhe kontrolli për të shkarkuar ngarkesa dytësore duke përfshirë 'game.exe', 'WebView2Loader.dll' dhe 'visualwincomp.txt'.
  • 'game.exe' (Darkcomp) funksiononte si një trojan me akses në distancë i personalizuar që maskohej si një aplikacion legjitim i Microsoft WebView2 bazuar në projektin zyrtar WebView2APISample.
  • 'WebView2Loader.dll' shërbeu si një varësi legjitime e nevojshme për funksionalitetin e Microsoft Edge WebView2.
  • 'visualwincomp.txt' përmbante të dhëna konfigurimi të koduara të përdorura nga RAT për të identifikuar infrastrukturën e komandës dhe kontrollit.

Pasi aktivizohej, trojani me qasje në distancë komunikonte vazhdimisht me serverin e tij të komandës çdo 60 sekonda, duke u lejuar operatorëve të ekzekutonin skripte PowerShell, të ekzekutonin komanda të sistemit, të manipulonin skedarë dhe të krijonin seanca interaktive të linjës së komandës.

Provat që lidhin operacionin me MuddyWater

Atribuimi ndaj MuddyWater u forcua përmes zbulimit të një certifikate nënshkrimi kodi të lidhur me 'Donald Gay', e cila u përdor për të nënshkruar mostrën e malware-it 'ms_upd.exe'. E njëjta certifikatë ishte lidhur më parë me malware-in MuddyWater, duke përfshirë një variant shkarkuesish CastleLoader të njohur si Fakeset.

Studiuesit vunë re se operacioni demonstroi një konvergjencë të konsiderueshme midis aktivitetit të spiunazhit të sponsorizuar nga shteti dhe metodave operative të krimit kibernetik. Integrimi i markës së ransomware-it, negociatave të zhvatjes dhe kornizave të malware-it të disponueshme komercialisht ndërlikuan përpjekjet e atribuimit dhe e devijuan vëmendjen mbrojtëse drejt aktiviteteve të menjëhershme të reagimit ndaj ransomware-it në vend të mekanizmave afatgjatë të qëndrueshmërisë të krijuara përmes mjeteve të aksesit në distancë.

Pse sulmi u dallua

Një nga aspektet më të pazakonta të fushatës ishte mungesa e dukshme e enkriptimit të përhapur të skedarëve pavarësisht përdorimit të artefakteve të ransomware-it Chaos. Ky devijim nga sjellja standarde e ransomware-it sugjeron fuqimisht se komponenti i ransomware-it funksionoi kryesisht si kamuflazh ose keqorientim operacional dhe jo si objektivi kryesor i misionit.

Fushata gjithashtu nxjerr në pah një trend në rritje midis aktorëve kërcënues iranianë për të përfshirë mjetet e krimit kibernetik në operacionet e drejtuara nga shteti. Duke shfrytëzuar infrastrukturat ekzistuese nëntokësore dhe ekosistemet e malware-it, grupe të tilla si MuddyWater fitojnë fleksibilitet më të madh operacional, ulin kostot e zhvillimit të brendshëm dhe ndërlikojnë ndjeshëm përpjekjet e atribuimit si për mbrojtësit ashtu edhe për analistët e inteligjencës.

Në trend

Më e shikuara

Po ngarkohet...