Попуст за више лиценци
Тхреат Датабасе Малваре Напад лажне заставе MuddyWater-а путем ransomware-а

Напад лажне заставе MuddyWater-а путем ransomware-а

До Mezo. у Малваре, Напредна трајна претња (АПТ)
Преведи на:

Иранска државна група за претње MuddyWater, која се прати и под псеудонимима као што су Mango Sandstorm, Seedworm и Static Kitten, повезана је са софистицираном кампањом ransomware-а коју истражитељи описују као операцију под лажном заставом. Иако је упад у почетку личио на активност повезану са конвенционалном RaaS (Ransomware-as-a-Service) операцијом користећи бренд Chaos ransomware-а, дубља анализа је открила карактеристике које су у складу са циљаним државним сајбер нападом прикривеним као финансијски мотивисана изнуда.

Операција, идентификована почетком 2026. године, у великој мери се ослањала на друштвени инжењеринг путем Microsoft Teams-а. Нападачи су спроводили високо интерактивне сесије интеракције са жртвама, користећи функционалност дељења екрана за прикупљање акредитива и манипулисање процесима вишефакторске аутентификације. Након што су добили приступ, актери претње су напустили традиционалне тактике ransomware-а као што је шифровање датотека великих размера и уместо тога се фокусирали на крађу података, прикривено истрајање и дугорочни приступ мрежи путем услужних програма за даљинско управљање.

Сајбер криминалне вештине које се користе за прикривање државних операција

Истраживачи верују да кампања одражава намерни напор групе MuddyWater да прикрије атрибуцију усвајањем алата и техника које се обично повезују са екосистемима сајбер криминала. Група је све више интегрисала комерцијално доступан подземни злонамерни софтвер и системе за даљински приступ у своје пословање, укључујући алате као што су CastleRAT и Tsundere.

Ова тактика је у складу са претходним кампањама MuddyWater које су комбиновале шпијунажу и деструктивне активности са операцијама у стилу ransomware-а. Године 2020, група је циљала велике израелске организације користећи PowGoop loader за распоређивање деструктивне варијанте Thanos ransomware-а. Године 2023, Microsoft је повезао групу са DEV-1084, актером повезаним са личношћу DarkBit, током напада прикривених као ransomware инциденти. До краја 2025. године, оператери повезани са Ираном су такође осумњичени да користе Qilin ransomware против израелске владине болнице.

Истраживачи безбедности закључили су да је најновија кампања вероватно укључивала оператере повезане са Ираном који делују кроз успостављене сајбер криминалне инфраструктуре, док истовремено теже ширим геополитичким циљевима. Коришћење Килина и учешће у екосистемима повезаним са ransomware-ом вероватно је обезбедило оперативно покриће, уверљиво порицање и приступ зрелим могућностима напада, истовремено помажући нападачима да избегну појачано израелско одбрамбено праћење.

Хаос РааС: Растући екосистем изнуде

Хаос се појавио почетком 2025. године као операција Ransomware-as-a-Service (Ransomware-as-a-Service) позната по агресивним тактикама двоструке изнуде. Група је промовисала свој партнерски програм на подземним форумима за сајбер криминал као што су RAMP и RehubCom и брзо проширила свој оперативни домет.

Хаос кампање обично комбинују преплављивање имејловима, фишинг гласовним позивима и нападе лажног представљања у оквиру Microsoft Teams-а у којима се актери претњи представљају као ИТ особље за подршку. Жртве се манипулишу да инсталирају апликације за удаљени приступ попут Microsoft Quick Assist-а, што омогућава нападачима да успоставе упориште у корпоративним окружењима пре него што ескалирају привилегије, крећу се бочно и распоређују ransomware пакете.

Група је такође демонстрирала све агресивније моделе изнуде:

  • Двострука изнуда кроз крађу података и захтеве за откуп
  • Трострука изнуда која укључује претње дистрибуираним нападима ускраћивања услуге (DDoS)
  • Четвороструке тактике изнуде које укључују претње контактирањем купаца, партнера или конкурената како би се појачао притисак на жртве

До марта 2026. године, Хаос је на својој платформи за цурење информација пронашао 36 жртава, а већина организација се налазила у Сједињеним Државама. Сектори грађевинарства, производње и пословних услуга појавили су се међу најжешће циљаним индустријама.

Анатомија упада

Током истраживаног упада, нападачи су започели екстерне разговоре са запосленима преко Microsoft Teams-а како би стекли поверење и подстакли сесије дељења екрана. Угрожени кориснички налози су затим искоришћени за извиђање, истрајност, бочно кретање и крађу података.

Док су били повезани са системима жртава, нападачи су извршавали команде за извиђање, приступали датотекама повезаним са VPN-ом и налагали корисницима да ручно уносе акредитиве у локално креиране текстуалне документе. У неколико случајева, AnyDesk је инсталиран како би се ојачале могућности даљинског приступа.

Претње су додатно користиле протокол за удаљену радну површину (RDP) да би преузеле извршну датотеку под називом „ms_upd.exe“ са спољне адресе сервера 172.86.126.208 користећи услужни програм curl. Након покретања, злонамерни софтвер је покренуо вишестепени ланац инфекције осмишљен да распореди додатне злонамерне компоненте и успостави трајну комуникацију командовања и контроле.

Арсенал злонамерног софтвера иза кампање

Ланац инфекције је укључивао неколико различитих компоненти злонамерног софтвера које су заједно радиле на одржавању постојаности и извршавању удаљених команди:

  • „ms_upd.exe“ (Stagecomp) је прикупио системске информације и контактирао командно-контролни сервер да би преузео секундарне корисне податке, укључујући „game.exe“, „WebView2Loader.dll“ и „visualwincomp.txt“
  • „game.exe“ (Darkcomp) је функционисао као прилагођени тројански вирус за даљински приступ, маскиран као легитимна Microsoft WebView2 апликација заснована на званичном WebView2APISample пројекту.
  • Датотека „WebView2Loader.dll“ је служила као легитимна зависност потребна за функционалност Microsoft Edge WebView2
  • Датотека „visualwincomp.txt“ је садржала шифроване податке о конфигурацији које је RAT користио за идентификацију инфраструктуре командовања и контроле

Једном активан, тројански кон за даљински приступ континуирано је комуницирао са својим командним сервером сваких 60 секунди, омогућавајући оператерима да извршавају PowerShell скрипте, покрећу системске команде, манипулишу датотекама и покрећу интерактивне сесије командне линије.

Докази који повезују операцију са Мадивотером

Приписивање MuddyWater-у је појачано открићем сертификата за потписивање кода повезаног са „Доналдом Гејем“, који је коришћен за потписивање узорка злонамерног софтвера „ms_upd.exe“. Исти сертификат је претходно био повезан са MuddyWater злонамерним софтвером, укључујући варијанту програма за преузимање CastleLoader-а познату као Fakeset.

Истраживачи су приметили да је операција показала значајну конвергенцију између шпијунских активности које спонзорише држава и оперативних метода сајбер криминала. Интеграција брендирања ransomware-а, преговора о изнуди и комерцијално доступних оквира за злонамерни софтвер компликовала је напоре атрибуције и преусмерила одбрамбену пажњу ка активностима тренутног одговора на откупнину, уместо на дугорочне механизме истрајности успостављене путем алата за удаљени приступ.

Зашто се напад издвојио

Један од најнеобичнијих аспеката кампање био је очигледан недостатак широко распрострањеног шифровања датотека упркос коришћењу артефаката рансомвера Chaos. Ово одступање од стандардног понашања рансомвера снажно указује на то да је компонента рансомвера функционисала првенствено као камуфлажа или оперативно скретање пажње, а не као примарни циљ мисије.

Кампања такође истиче растући тренд међу иранским актерима претњи да укључе алате за сајбер криминал у операције које води држава. Коришћењем постојећих подземних инфраструктура и екосистема злонамерног софтвера, групе попут MuddyWater добијају већу оперативну флексибилност, смањују интерне трошкове развоја и значајно компликују напоре атрибуције како за браниоце, тако и за обавештајне аналитичаре.

У тренду

Најгледанији

Учитавање...