MuddyViper Backdoor

ఇటీవలి కాలంలో విద్యారంగం, ఇంజనీరింగ్, స్థానిక ప్రభుత్వం, తయారీ, సాంకేతికత, రవాణా మరియు యుటిలిటీలలోని విస్తృత శ్రేణి ఇజ్రాయెల్ సంస్థలపై గూఢచర్య కార్యకలాపాలు ఊపందుకున్నాయి. ఇరానియన్ రాష్ట్ర-సమలేఖన భాగస్వాములకు ఆపాదించబడిన ఈ ఆపరేషన్, గతంలో తెలియని బ్యాక్‌డోర్ MuddyViper ను ప్రవేశపెట్టింది, ఇది సమూహం యొక్క వ్యూహాలలో కొత్త తీవ్రతను సూచిస్తుంది. ఈజిప్టుకు చెందిన ఒక సాంకేతిక సంస్థ కూడా అడ్డంకిలో చిక్కుకుంది, ఈ ప్రచారం సెప్టెంబర్ 2024 చివరి నుండి 2025 మార్చి మధ్యకాలం వరకు కొనసాగింది.

సామర్థ్యాలను విస్తరించే సుపరిచిత ప్రత్యర్థి

ఈ దాడులు మడ్డీవాటర్, దీనిని మాంగో సాండ్‌స్టార్మ్, స్టాటిక్ కిట్టెన్ లేదా TA450 అని కూడా పిలుస్తారు, ఇరాన్ ఇంటెలిజెన్స్ మరియు భద్రతా మంత్రిత్వ శాఖ కింద పనిచేయాలని అంచనా వేసిన ఈ సమూహం. కనీసం 2017 నుండి చురుకుగా ఉన్న మడ్డీవాటర్, గూఢచర్యం మరియు విధ్వంసక చర్యలకు సంబంధించిన సుదీర్ఘ రికార్డును కలిగి ఉంది, వీటిలో మునుపటి POWERSTATS ప్రచారాలు మరియు ఆపరేషన్ క్విక్‌సాండ్ సమయంలో PowGoop రాన్సమ్‌వేర్ వాడకం ఉన్నాయి.

ప్రచురించబడిన ఫలితాల ప్రకారం, ఈ బృందం స్థానిక అధికారులు, వాయు రవాణా, పర్యాటకం, ఆరోగ్య సేవలు, టెలికాం నెట్‌వర్క్‌లు, ఐటి ప్రొవైడర్లు మరియు SME లను విస్తరించి ఉన్న ఇజ్రాయెల్ లక్ష్యాలపై దాడి చేస్తూనే ఉంది.

వారి అభివృద్ధి చెందుతున్న ప్లేబుక్: సోషల్ ఇంజనీరింగ్ నుండి VPN బలహీనతలను ఉపయోగించడం వరకు

బెదిరింపు పాత్రధారి సాధారణంగా స్పియర్-ఫిషింగ్ ఇమెయిల్‌లు మరియు తెలిసిన VPN దుర్బలత్వాల దుర్వినియోగంపై ఆధారపడతాడు. చారిత్రాత్మకంగా, ఈ చొరబాట్లలో చట్టబద్ధమైన రిమోట్ అడ్మినిస్ట్రేషన్ సాధనాల విస్తరణ ఉంటుంది - ఇది మడ్డీవాటర్ కార్యకలాపాల యొక్క ముఖ్య లక్షణం. అయితే, మే 2024 నుండి, వారి ఫిషింగ్ ఇమెయిల్‌లు బగ్‌స్లీప్ (మడ్డీరాట్ అని కూడా పిలుస్తారు) అని పిలువబడే రహస్య బ్యాక్‌డోర్‌ను అందించడం ప్రారంభించాయి, ఇది మరింత అనుకూలీకరించిన సాధనం వైపు మార్పును చూపుతుంది.

ఈ సమూహం యొక్క విస్తృత ఆయుధశాల విస్తృతమైనది మరియు బ్లాక్అవుట్, యాంకర్‌రాట్, కానన్‌రాట్, నేష్టా మరియు ట్రీజర్‌బాక్స్ మరియు బ్లాక్‌పెర్ల్ RAT వంటి లోడర్‌లను ప్రచారం చేయడానికి సహాయపడే సాడ్ C2 ఫ్రేమ్‌వర్క్‌ను కలిగి ఉంటుంది.

ఫిషింగ్ మొదటి దశగానే మిగిలిపోయింది

తాజా దాడి తరంగం ఇప్పటికీ PDF అటాచ్‌మెంట్‌లను కలిగి ఉన్న హానికరమైన ఇమెయిల్‌లతో ప్రారంభమవుతుంది. ఈ PDFలు బాధితులను Atera, Level, PDQ మరియు SimpleHelp వంటి విస్తృతంగా ఉపయోగించే రిమోట్ సాధనాల డౌన్‌లోడ్‌ల వైపు మళ్లిస్తాయి. పట్టు సాధించిన తర్వాత, దాడి చేసేవారు మరింత ప్రత్యేకమైన భాగాలను అమలు చేయడానికి కదులుతారు.

ఫుడర్ మరియు మడ్డీవైపర్ పరిచయం చేస్తున్నాము

ఈ ప్రచారంలో ప్రముఖంగా Fooder అనే లోడర్ ఉంది, ఇది C/C++‑ ఆధారిత MuddyViper బ్యాక్‌డోర్‌ను డీక్రిప్ట్ చేయడానికి మరియు అమలు చేయడానికి రూపొందించబడింది. Fooder యొక్క వైవిధ్యాలు go-socks5 టన్నెలింగ్ యుటిలిటీలను మరియు అనేక ప్లాట్‌ఫారమ్‌ల నుండి (సఫారీ మినహా) బ్రౌజర్ డేటాను సేకరించడానికి ఓపెన్-సోర్స్ HackBrowserData సాధనాన్ని పంపిణీ చేస్తున్నట్లు కూడా కనిపించాయి.

MuddyViper స్వయంగా విస్తృతమైన నియంత్రణను అందిస్తుంది, ఆపరేటర్లు సిస్టమ్ వివరాలను సేకరించడానికి, ఫైల్‌లు మరియు ఆదేశాలను అమలు చేయడానికి, డేటాను లోపలికి మరియు వెలుపలికి తరలించడానికి మరియు Windows ఆధారాలు మరియు బ్రౌజర్ సమాచారాన్ని దొంగిలించడానికి వీలు కల్పిస్తుంది. ఇది దాచిన యాక్సెస్‌ను నిర్వహించడానికి 20 అంతర్నిర్మిత ఆదేశాలకు మద్దతు ఇస్తుంది. కొన్ని Fooder వేరియంట్‌లు క్లాసిక్ స్నేక్ గేమ్ వలె మారువేషంలో ఉంటాయి మరియు సైడ్‌స్టెప్ డిటెక్షన్‌కు ఆలస్యంగా అమలు చేయడంపై ఆధారపడతాయి, ఈ టెక్నిక్ మొదట సెప్టెంబర్ 2025లో గుర్తించబడింది.

ఆపరేషన్‌లో గమనించిన అదనపు సాధనాలు

నిలకడ, ఆధారాల దొంగతనం మరియు డేటా సేకరణ కోసం రూపొందించబడిన అనేక సహాయక యుటిలిటీల విస్తరణను పరిశోధకులు కూడా నమోదు చేశారు:

VAXOne – వీమ్, ఎనీడెస్క్, జిరాక్స్ లేదా వన్‌డ్రైవ్ అప్‌డేటర్‌గా మారువేషంలో ఉన్న బ్యాక్‌డోర్.

CE-నోట్స్ – లోకల్ స్టేట్ ఎన్‌క్రిప్షన్ కీని దొంగిలించడం ద్వారా Chrome యొక్క యాప్-బౌండ్ ఎన్‌క్రిప్షన్‌ను దాటవేయడానికి రూపొందించబడిన బ్రౌజర్-డేటా దొంగతనం సాధనం.

బ్లబ్ – క్రోమ్, ఎడ్జ్, ఫైర్‌ఫాక్స్ మరియు ఒపెరా నుండి లాగిన్ డేటాను సేకరించే AC/C++ స్టీలర్.

LP-నోట్స్ – AC/C++ క్రెడెన్షియల్-హార్వెస్టింగ్ సాధనం, ఇది వినియోగదారులను వారి లాగిన్ వివరాలను నమోదు చేయడానికి మోసగించడానికి మోసపూరిత విండోస్ సెక్యూరిటీ ప్రాంప్ట్‌ను ప్రదర్శిస్తుంది.

లైసియంతో సహకారం: ఒక కార్యాచరణ అతివ్యాప్తి ఉద్భవిస్తుంది

కనీసం 2018 నుండి ప్రాంతీయ సైబర్ గూఢచర్యంలో చురుకుగా ఉన్న ఆయిల్‌రిగ్ (APT34) యొక్క ఉప సమూహం అయిన లైసియం (హెక్సేన్, స్పిర్లిన్ లేదా సియామెస్‌కిట్టెన్ అని కూడా పిలుస్తారు) కార్యకలాపాలతో మడ్డీవాటర్ కార్యకలాపాలు ముడిపడి ఉన్నాయని దర్యాప్తులో వెల్లడైంది.

2025 ప్రారంభంలో గుర్తించిన సంఘటనల సమయంలో, మడ్డీవాటర్ రిమోట్ డెస్క్‌టాప్ సాధనాలను మరియు అనుకూలీకరించిన మిమికాట్జ్ లోడర్‌ను ఉపయోగించడం ద్వారా ఇజ్రాయెల్ తయారీ సంస్థలో ప్రారంభ యాక్సెస్ బ్రోకర్‌గా వ్యవహరించి ఉండవచ్చు. దొంగిలించబడిన ఆధారాలను లైసియం యాక్సెస్‌ను విస్తరించడానికి మరియు కార్యాచరణ నియంత్రణను చేపట్టడానికి ఉపయోగించుకునే అవకాశం ఉంది.

కార్యాచరణ పరిపక్వత పెరుగుతున్న సంకేతం

కొత్త భాగాల పరిచయం, ముఖ్యంగా ఫూడర్ లోడర్ మరియు మడ్డీవైపర్ బ్యాక్‌డోర్, మడ్డీవాటర్ యొక్క సాంకేతిక మరియు కార్యాచరణ అధునాతనతలో గణనీయమైన పురోగతిని హైలైట్ చేస్తుంది. ఈ సమూహం స్పష్టంగా రహస్యంగా పనిచేసే యంత్రాంగాలు, మరింత సమర్థవంతమైన ఆధారాల దొంగతనం మరియు లోతైన నిఘా సామర్థ్యాలలో పెట్టుబడి పెడుతోంది.

ఈ ప్రచారం ఇరానియన్-సమలేఖన సైబర్ ఆపరేటర్ల నుండి నిరంతర మరియు విస్తరిస్తున్న ముప్పును నొక్కి చెబుతుంది. వారి కస్టమ్ మాల్వేర్, స్టెల్తీ లోడర్లు, చట్టబద్ధమైన రిమోట్ అడ్మినిస్ట్రేషన్ సాధనాలు మరియు క్రాస్-గ్రూప్ సహకారం యొక్క మిశ్రమం ఈ ప్రాంతంలోని సంస్థలు అధిక అప్రమత్తతతో ఉండాలని మరియు పెరుగుతున్న సంక్లిష్టమైన చొరబాటు వ్యూహాలకు వ్యతిరేకంగా రక్షణను బలోపేతం చేయాలని సూచిస్తున్నాయి.