MuddyViper Backdoor
Недавни талас шпијунских активности усмерио се на широк спектар израелских организација у академским круговима, инжењерству, локалној самоуправи, производњи, технологији, транспорту и комуналним услугама. Операција, која се приписује иранским актерима повезаним са државом, увела је раније непознати бекдор назван MuddyViper, сигнализирајући нову ескалацију у тактикама групе. Једна технолошка фирма са седиштем у Египту такође се нашла на мети, а кампања је трајала од краја септембра 2024. до средине марта 2025. године.
Преглед садржаја
Познати противник са растућим могућностима
Напади су повезани са групом MuddyWater, познатом и као Mango Sandstorm, Static Kitten или TA450, за коју се процењује да делује под окриљем иранског Министарства за обавештајне послове и безбедност. Активна најмање од 2017. године, MuddyWater има дугу историју шпијунаже и деструктивних акција, укључујући раније POWERSTATS кампање и коришћење PowGoop ransomware-а током операције Quicksand.
Према објављеним налазима, група наставља да напада израелске мете које обухватају локалне власти, ваздушни саобраћај, туризам, здравствене услуге, телекомуникационе мреже, ИТ провајдере и мала и средња предузећа.
Њихова еволуирајућа приручник: Од друштвеног инжењеринга до искоришћавања слабости ВПН-а
Претња се обично ослања на фишинг имејлове и злоупотребу познатих VPN рањивости како би добио приступ. Историјски гледано, ови упади су укључивали распоређивање легитимних алата за даљинско администрирање — што је обележје MuddyWater-овог пословања. Међутим, од маја 2024. године, њихови фишинг имејлови су почели да испоручују прикривени бекдор познат као BugSleep (такође назван MuddyRot), што показује помак ка прилагођенијим алатима.
Шири арсенал групе је опсежан и укључује Blackout, AnchorRat, CannonRat, Neshta и Sad C2 framework, који помаже у ширењу учитавача као што су TreasureBox и BlackPearl RAT.
Фишинг остаје први корак
Најновији талас напада и даље почиње злонамерним имејловима који садрже PDF прилоге. Ови PDF-ови усмеравају жртве ка преузимањима широко коришћених алата за удаљени рад као што су Atera, Level, PDQ и SimpleHelp. Када се учврсти, нападачи прелазе на примену специјализованијих компоненти.
Представљамо Фудера и МадиВипера
Ова кампања истакнуто приказује програм за учитавање под називом Fooder, направљен за дешифровање и извршавање MuddyViper бекдора заснованог на C/C++. Варијанте Fooder-а су такође виђене како дистрибуирају go-socks5 алате за тунелирање и алат отвореног кода HackBrowserData за прикупљање података прегледача са бројних платформи (са изузетком Safari-ја).
Сам MuddyViper пружа широку контролу, омогућавајући оператерима да прикупљају системске детаље, покрећу датотеке и команде, премештају податке унутра и напоље, и краду Windows акредитиве и информације о прегледачу. Подржава 20 уграђених команди за одржавање скривеног приступа. Неке варијанте Fooder-а се маскирају у класичну игру Snake и ослањају се на одложено извршавање како би заобишле детекцију, технику која је први пут примећена у септембру 2025. године.
Додатни алати примећени током операције
Истраживачи су такође документовали примену неколико помоћних услужних програма дизајнираних за истрајност, крађу акредитива и прикупљање података:
VAXOne – Задња врата која се маскирају као Veeam, AnyDesk, Xerox или OneDrive ажурирање.
CE-Notes – Алат за крађу података из прегледача дизајниран да заобиђе Chrome-ово шифровање везано за апликацију крађу локалног кључа за шифровање државе.
Blub – AC/C++ крађа која прикупља податке за пријаву из Chrome-а, Edge-а, Firefox-а и Opera-е.
LP-Notes – алат за прикупљање AC/C++ акредитива који приказује лажни Windows безбедносни упит како би преварио кориснике да унесу своје податке за пријаву.
Сарадња са Лицејем: Појављује се оперативно преклапање
Истрага је открила да се активност компаније MuddyWater пресеца са операцијама компаније Lyceum (познате и као Hexane, Spirlin или Siamesekitten), подгрупе OilRig-а (APT34) која је активна у регионалној сајбер шпијунажи најмање од 2018. године.
Током инцидената идентификованих почетком 2025. године, MuddyWater је вероватно деловао као почетни посредник за приступ унутар израелске производне организације применом алата за удаљену радну површину и прилагођеног програма за учитавање Mimikatz. Украдене акредитиве је потом вероватно искористио Lyceum за проширење приступа и преузимање оперативне контроле.
Знак све веће оперативне зрелости
Увођење нових компоненти, посебно Fooder loader-а и MuddyViper backdoor-а, истиче значајан напредак у техничкој и оперативној софистицираности MuddyWater-а. Група очигледно улаже у прикривеније механизме перзистентности, ефикаснију крађу акредитива и дубље могућности извиђања.
Кампања наглашава континуирану и растућу претњу од сајбер оператера повезаних са Ираном. Њихова комбинација прилагођеног злонамерног софтвера, прикривених програма за учитавање података, легитимних алата за даљинско администрирање и сарадње између група сугерише да организације у региону морају остати у појачаној приправности и појачати одбрану од све сложенијих стратегија упада.
