MuddyViper பின்னணி

இஸ்ரேலிய கல்வி, பொறியியல், உள்ளூர் அரசு, உற்பத்தி, தொழில்நுட்பம், போக்குவரத்து மற்றும் பயன்பாட்டுத் துறைகள் என பல்வேறு துறைகளில் உளவு நடவடிக்கைகளின் சமீபத்திய அலை, இஸ்ரேலிய அமைப்புகளை முழுமையாக ஆக்கிரமித்துள்ளது. ஈரானிய அரசுடன் இணைந்த செயல்பாட்டாளர்களால் நடத்தப்பட்ட இந்த நடவடிக்கை, MuddyViper என முன்னர் அறியப்படாத ஒரு பின்கதவை அறிமுகப்படுத்தியது, இது குழுவின் தந்திரோபாயங்களில் ஒரு புதிய அதிகரிப்பைக் குறிக்கிறது. எகிப்தை தளமாகக் கொண்ட ஒரு தொழில்நுட்ப நிறுவனமும் இந்த முயற்சியில் சிக்கியது, இந்த பிரச்சாரம் செப்டம்பர் 2024 இன் பிற்பகுதியிலிருந்து மார்ச் 2025 நடுப்பகுதி வரை நடைபெற்றது.

விரிவடையும் திறன்களைக் கொண்ட ஒரு பழக்கமான எதிரி

இந்தத் தாக்குதல்கள், ஈரானின் உளவுத்துறை மற்றும் பாதுகாப்பு அமைச்சகத்தின் கீழ் செயல்பட மதிப்பிடப்பட்ட MuddyWater குழுவுடன் தொடர்புடையதாகத் தெரிகிறது. இது Mango Sandstorm, Static Kitten அல்லது TA450 என்றும் அழைக்கப்படுகிறது. குறைந்தபட்சம் 2017 முதல் செயல்பட்டு வரும் MuddyWater, உளவு பார்த்தல் மற்றும் அழிவுகரமான செயல்களில் நீண்ட வரலாற்றைக் கொண்டுள்ளது. இதில் முந்தைய POWERSTATS பிரச்சாரங்கள் மற்றும் Operation Quicksand இன் போது PowGoop ransomware இன் பயன்பாடு ஆகியவை அடங்கும்.

வெளியிடப்பட்ட கண்டுபிடிப்புகளின்படி, உள்ளூர் அதிகாரிகள், விமானப் போக்குவரத்து, சுற்றுலா, சுகாதார சேவைகள், தொலைத்தொடர்பு நெட்வொர்க்குகள், ஐடி வழங்குநர்கள் மற்றும் சிறிய மற்றும் நடுத்தர நிறுவனங்களை உள்ளடக்கிய இஸ்ரேலிய இலக்குகளை இந்தக் குழு தொடர்ந்து தாக்கி வருகிறது.

அவர்களின் வளர்ந்து வரும் விளையாட்டு புத்தகம்: சமூக பொறியியலில் இருந்து VPN பலவீனங்களை சுரண்டுவது வரை

அச்சுறுத்தல் நடிகர் பொதுவாக ஈட்டி-ஃபிஷிங் மின்னஞ்சல்கள் மற்றும் அறியப்பட்ட VPN பாதிப்புகளை துஷ்பிரயோகம் செய்வதை நம்பியிருக்கிறார். வரலாற்று ரீதியாக, இந்த ஊடுருவல்கள் முறையான தொலை நிர்வாக கருவிகளைப் பயன்படுத்துவதை உள்ளடக்கியது - இது MuddyWater இன் செயல்பாடுகளின் ஒரு அடையாளமாகும். இருப்பினும், மே 2024 முதல், அவர்களின் ஃபிஷிங் மின்னஞ்சல்கள் BugSleep (MuddyRot என்றும் அழைக்கப்படுகிறது) எனப்படும் ஒரு ரகசியமான பின்புறக் கதவை வழங்கத் தொடங்கியுள்ளன, இது மேலும் தனிப்பயனாக்கப்பட்ட கருவிகளை நோக்கி நகர்வதைக் காட்டுகிறது.

இந்தக் குழுவின் பரந்த ஆயுதக் களஞ்சியம் விரிவானது மற்றும் Blackout, AnchorRat, CannonRat, Neshta மற்றும் TreasureBox மற்றும் BlackPearl RAT போன்ற ஏற்றிகளைப் பரப்ப உதவும் Sad C2 கட்டமைப்பை உள்ளடக்கியது.

ஃபிஷிங் முதல் படியாகவே உள்ளது.

சமீபத்திய தாக்குதல் அலை இன்னும் PDF இணைப்புகளைக் கொண்ட தீங்கிழைக்கும் மின்னஞ்சல்களுடன் தொடங்குகிறது. இந்த PDFகள் பாதிக்கப்பட்டவர்களை Atera, Level, PDQ மற்றும் SimpleHelp போன்ற பரவலாகப் பயன்படுத்தப்படும் தொலைதூர கருவிகளுக்கான பதிவிறக்கங்களை நோக்கிச் செல்கின்றன. ஒரு இடத்தைப் பிடித்தவுடன், தாக்குபவர்கள் மிகவும் சிறப்பு வாய்ந்த கூறுகளைப் பயன்படுத்த நகர்கின்றனர்.

Fooder மற்றும் MuddyViper அறிமுகம்

இந்த பிரச்சாரத்தில் முக்கியமாக Fooder என்ற லோடர் இடம்பெற்றுள்ளது, இது C/C++‑ அடிப்படையிலான MuddyViper பின்கதவை மறைகுறியாக்கி செயல்படுத்துவதற்காக உருவாக்கப்பட்டது. Fooder இன் மாறுபாடுகள் go-socks5 டன்னலிங் பயன்பாடுகளையும், பல தளங்களில் இருந்து உலாவி தரவை சேகரிக்க திறந்த மூல HackBrowserData கருவியையும் விநியோகிப்பதைக் காணலாம் (Safari தவிர).

MuddyViper தானே விரிவான கட்டுப்பாட்டை வழங்குகிறது, இதனால் ஆபரேட்டர்கள் கணினி விவரங்களைச் சேகரிக்கவும், கோப்புகள் மற்றும் கட்டளைகளை இயக்கவும், தரவை உள்ளேயும் வெளியேயும் நகர்த்தவும், விண்டோஸ் நற்சான்றிதழ்கள் மற்றும் உலாவித் தகவல்களைத் திருடவும் முடியும். மறைக்கப்பட்ட அணுகலைப் பராமரிக்க இது 20 உள்ளமைக்கப்பட்ட கட்டளைகளை ஆதரிக்கிறது. சில Fooder வகைகள் கிளாசிக் ஸ்னேக் கேம் போல மாறுவேடமிட்டு, sidestep கண்டறிதலுக்கு தாமதமான செயல்படுத்தலை நம்பியுள்ளன, இது முதலில் செப்டம்பர் 2025 இல் குறிப்பிடப்பட்டது.

செயல்பாட்டில் கவனிக்கப்படும் கூடுதல் கருவிகள்

நிலைத்தன்மை, நற்சான்றிதழ் திருட்டு மற்றும் தரவு சேகரிப்புக்காக வடிவமைக்கப்பட்ட பல துணை பயன்பாடுகளின் பயன்பாட்டை ஆராய்ச்சியாளர்கள் ஆவணப்படுத்தியுள்ளனர்:

VAXOne – வீம், எனிடெஸ்க், ஜெராக்ஸ் அல்லது ஒன் டிரைவ் புதுப்பிப்பான் போன்ற ஒரு பின்கதவு பதிப்பு.

CE-குறிப்புகள் – லோக்கல் ஸ்டேட் என்க்ரிப்ஷன் கீயைத் திருடுவதன் மூலம் Chrome இன் ஆப்-பிவுண்ட் என்க்ரிப்ஷனைத் தவிர்ப்பதற்காக வடிவமைக்கப்பட்ட ஒரு உலாவி-தரவு திருட்டு கருவி.

Blub - குரோம், எட்ஜ், பயர்பாக்ஸ் மற்றும் ஓபராவிலிருந்து உள்நுழைவுத் தரவைச் சேகரிக்கும் AC/C++ ஸ்டீலர்.

LP-குறிப்புகள் - AC/C++ நற்சான்றிதழ்-அறுவடை கருவி, பயனர்கள் தங்கள் உள்நுழைவு விவரங்களை உள்ளிடுவதற்கு ஏமாற்றும் ஒரு மோசடியான Windows பாதுகாப்பு தூண்டுதலைக் காட்டுகிறது.

லைசியத்துடன் ஒத்துழைப்பு: ஒரு செயல்பாட்டு ஒன்றுடன் ஒன்று வெளிப்படுகிறது

விசாரணையில், MuddyWater இன் செயல்பாடு, குறைந்தது 2018 முதல் பிராந்திய சைபர் உளவுத்துறையில் செயல்படும் OilRig (APT34) இன் துணைக்குழுவான Lyceum (Hexane, Spirlin, அல்லது Siamesekitten என்றும் அழைக்கப்படுகிறது) இன் செயல்பாடுகளுடன் குறுக்கிடுவது தெரியவந்தது.

2025 ஆம் ஆண்டின் முற்பகுதியில் அடையாளம் காணப்பட்ட சம்பவங்களின் போது, தொலைதூர டெஸ்க்டாப் கருவிகள் மற்றும் தனிப்பயனாக்கப்பட்ட மிமிகாட்ஸ் ஏற்றியைப் பயன்படுத்துவதன் மூலம், மடிவாட்டர் இஸ்ரேலிய உற்பத்தி நிறுவனத்திற்குள் ஆரம்ப அணுகல் தரகராகச் செயல்பட்டிருக்கலாம். திருடப்பட்ட சான்றுகளை பின்னர் லைசியம் பயன்படுத்தி அணுகலை விரிவுபடுத்தி செயல்பாட்டுக் கட்டுப்பாட்டை ஏற்றுக்கொண்டிருக்கலாம்.

செயல்பாட்டு முதிர்ச்சி அதிகரிப்பதற்கான அறிகுறி

புதிய கூறுகளின் அறிமுகம், குறிப்பாக Fooder ஏற்றி மற்றும் MuddyViper பின்புற கதவு, MuddyWater இன் தொழில்நுட்ப மற்றும் செயல்பாட்டு நுட்பத்தில் குறிப்பிடத்தக்க முன்னேற்றத்தை எடுத்துக்காட்டுகிறது. குழு தெளிவாக திருட்டுத்தனமான நிலைத்தன்மை வழிமுறைகள், மிகவும் திறமையான நற்சான்றிதழ் திருட்டு மற்றும் ஆழமான உளவு திறன்களில் முதலீடு செய்கிறது.

இந்த பிரச்சாரம் ஈரானுடன் இணைந்த சைபர் ஆபரேட்டர்களிடமிருந்து தொடர்ச்சியான மற்றும் விரிவடையும் அச்சுறுத்தலை அடிக்கோடிட்டுக் காட்டுகிறது. தனிப்பயன் தீம்பொருள், திருட்டுத்தனமான ஏற்றிகள், முறையான தொலை நிர்வாக கருவிகள் மற்றும் குறுக்கு-குழு ஒத்துழைப்பு ஆகியவற்றின் கலவையானது, பிராந்தியத்தில் உள்ள நிறுவனங்கள் அதிக விழிப்புடன் இருக்க வேண்டும் மற்றும் அதிகரித்து வரும் சிக்கலான ஊடுருவல் உத்திகளுக்கு எதிராக பாதுகாப்பை வலுப்படுத்த வேண்டும் என்பதைக் குறிக்கிறது.