Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Fushata e Sulmit të Operacionit Olalampo

Fushata e Sulmit të Operacionit Olalampo

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware
Përkthe në:

Grupi iranian i kërcënimeve MuddyWater, i lidhur me shtetin, i njohur edhe si Earth Vetala, Mango Sandstorm dhe MUDDYCOAST, ka nisur një fushatë të re kibernetike të quajtur Operacioni Olalampo. Operacioni ka synuar kryesisht organizata dhe individë në të gjithë rajonin e Lindjes së Mesme dhe Afrikës së Veriut (MENA).

E zbuluar për herë të parë më 26 janar 2026, fushata prezanton disa familje të reja programesh keqdashëse ndërsa ripërdor komponentë të lidhur më parë me grupin. Studiuesit e sigurisë raportojnë se aktiviteti pasqyron një vazhdimësi të modeleve të vendosura operative të MuddyWater, duke përforcuar praninë e saj të vazhdueshme në të gjithë rajonin META (Lindja e Mesme, Turqia dhe Afrika).

Vektorët e infeksionit dhe zinxhirët e sulmit

Fushata ndjek një metodologji të njohur ndërhyrjeje në përputhje me operacionet e mëparshme të MuddyWater. Qasja fillestare zakonisht fillon me email-e spear-phishing që përmbajnë bashkëngjitje keqdashëse të Microsoft Office. Këto dokumente përfshijnë kod makro të projektuar për të deshifruar dhe ekzekutuar ngarkesa në sistemin e viktimës, duke u dhënë në fund kontroll të largët sulmuesve.

Janë vërejtur disa variacione sulmi:

  • Një dokument keqdashës i Microsoft Excel i nxit viktimat të aktivizojnë makrot, duke shkaktuar vendosjen e CHAR-it të pasmë të bazuar në Rust.
  • Një variant i ngjashëm ofron shkarkuesin GhostFetch, i cili më pas instalon implantin GhostBackDoor.
  • Një zinxhir i tretë infeksioni përdor karrem me tema si bileta fluturimi ose raporte operacionale, në vend që të imitojë një kompani energjie dhe shërbimesh detare të Lindjes së Mesme, për të shpërndarë shkarkuesin HTTP_VIP. Ky variant në fund instalon aplikacionin e desktopit në distancë AnyDesk për akses të vazhdueshëm.

Për më tepër, grupi është vërejtur duke shfrytëzuar dobësitë e zbuluara rishtazi në serverat me qasje në internet për të fituar akses fillestar në mjediset e synuara.

Arsenali i Malware-it: Mjete të Personalizuara dhe Implante Modulare

Operacioni Olalampo mbështetet në një ekosistem të strukturuar dhe shumëfazor të programeve keqdashëse, të projektuar për zbulim, vazhdimësi dhe kontroll në distancë. Mjetet kryesore të identifikuara në këtë fushatë përfshijnë:

GhostFetch – Një shkarkues i fazës së parë që profilizon sistemet e kompromentuara duke vërtetuar lëvizjen e miut dhe rezolucionin e ekranit, duke zbuluar mjetet e debugging-ut, duke identifikuar artefaktet e makinës virtuale dhe duke kontrolluar për softuer antivirus. Ai merr dhe ekzekuton ngarkesa dytësore direkt në memorie.

GhostBackDoor – Një implant i fazës së dytë i ofruar nga GhostFetch. Ai mundëson akses interaktiv në shell, operacione leximi/shkrimi skedarësh dhe mund të rifillojë GhostFetch.

HTTP_VIP – Një shkarkues vendas që kryen zbulimin e sistemit dhe lidhet me domenin e jashtëm "codefusiontech(dot)org" për autentifikim. Ai vendos AnyDesk nga një server komande dhe kontrolli (C2). Një version më i ri përmirëson funksionalitetin me mbledhjen e të dhënave të viktimave, ekzekutimin interaktiv të shell-it, transferimet e skedarëve, kapjen e clipboard-it dhe intervalet e konfigurueshme të sinjalizimit.

CHAR – Një derë e pasme e bazuar në Rust që kontrollohet përmes një boti Telegram të identifikuar si 'Olalampo' (emri i përdoruesit: stager_51_bot). Ai mbështet navigimin në direktori dhe ekzekutimin e komandave cmd.exe ose PowerShell.

Funksionaliteti PowerShell i lidhur me CHAR mundëson ekzekutimin e një proxy të kundërt SOCKS5 ose një dere të pasme shtesë të quajtur Kalim. Ai gjithashtu lehtëson nxjerrjen e të dhënave të shfletuesit dhe nis skedarët ekzekutues të etiketuar 'sh.exe' dhe 'gshdoc_release_X64_GUI.exe'.

Zhvillimi i Ndihmuar nga IA dhe Mbivendosja e Kodit

Analiza teknike e kodit burimor të CHAR zbuloi tregues të zhvillimit të asistuar nga inteligjenca artificiale. Prania e emojive brenda vargjeve të debugimit përputhet me gjetjet e mëparshme të zbuluara nga Google, e cila raportoi se MuddyWater ka eksperimentuar me mjete gjeneruese të IA-së për të përmirësuar zhvillimin e malware-ve, veçanërisht për transferimin e skedarëve dhe aftësitë e ekzekutimit në distancë.

Analiza të mëtejshme tregojnë ngjashmëri strukturore dhe mjedisore midis CHAR dhe malware-it të bazuar në Rust, BlackBeard, i njohur edhe si Archer RAT ose RUSTRIC, i vendosur më parë nga grupi kundër entiteteve të Lindjes së Mesme. Këto mbivendosje sugjerojnë kanale të përbashkëta zhvillimi dhe përsosje iterative të mjeteve.

Zgjerimi i Aftësive dhe Qëllimi Strategjik

MuddyWater mbetet një aktor kërcënimi i vazhdueshëm dhe në zhvillim brenda rajonit META. Integrimi i zhvillimit të asistuar nga inteligjenca artificiale, përsosja e vazhdueshme e programeve keqdashëse të personalizuara, shfrytëzimi i dobësive që i drejtohen publikut dhe diversifikimi i infrastrukturës C2 demonstrojnë së bashku një angazhim afatgjatë për zgjerimin operacional.

Operacioni Olalampo nënvizon fokusin e vazhdueshëm të grupit në objektivat e bazuara në MENA dhe nxjerr në pah sofistikimin në rritje të aftësive të tij të ndërhyrjes. Organizatat që operojnë në rajon duhet të ruajnë vigjilencë të shtuar, të zbatojnë kufizime makro, të monitorojnë komunikimet e Komandës dhe Kontrollit (C2) dalëse dhe të përparësojnë ndreqjen në kohë të cenueshmërisë për të zbutur ekspozimin ndaj këtij peizazhi kërcënimesh në zhvillim.

Në trend

Mashtrim me Email për Kompensimin e Bankës Federale...

Fishing, Spam
Të qëndrosh vigjilent kur merresh me email-e të papritura është thelbësore në peizazhin e kërcënimeve të sotme. Kriminelët kibernetikë shpesh imitojnë institucione me reputacion të mirë për të fituar besim dhe për të manipuluar marrësit që të zbulojnë informacione të ndjeshme ose të dërgojnë para. I ashtuquajturi email i Kompensimit të Bankës Federal Equity Trust është një shembull i tillë....

Më e shikuara

Po ngarkohet...