మడ్డీవాటర్ ఫాల్స్ ఫ్లాగ్ రాన్సమ్‌వేర్ దాడి

ఇరాన్ ప్రభుత్వ-ప్రాయోజిత ముప్పు సమూహం మడ్డీవాటర్, మ్యాంగో శాండ్‌స్టార్మ్, సీడ్‌వార్మ్ మరియు స్టాటిక్ కిట్టెన్ వంటి మారుపేర్లతో కూడా ట్రాక్ చేయబడుతోంది, ఇది ఒక అధునాతన ర్యాన్సమ్‌వేర్ ప్రచారంతో ముడిపడి ఉంది, దీనిని దర్యాప్తుదారులు ఒక ఫాల్స్-ఫ్లాగ్ ఆపరేషన్‌గా అభివర్ణిస్తున్నారు. ఈ చొరబాటు ప్రారంభంలో చాస్ ర్యాన్సమ్‌వేర్ బ్రాండ్‌ను ఉపయోగించి చేసే ఒక సంప్రదాయ ర్యాన్సమ్‌వేర్-యాజ్-ఎ-సర్వీస్ (RaaS) ఆపరేషన్‌తో సంబంధం ఉన్న కార్యాచరణను పోలి ఉన్నప్పటికీ, లోతైన విశ్లేషణలో ఆర్థిక ప్రేరేపిత దోపిడీగా మభ్యపెట్టబడిన లక్షిత ప్రభుత్వ-ప్రాయోజిత సైబర్‌దాడికి అనుగుణమైన లక్షణాలు వెల్లడయ్యాయి.

2026 ప్రారంభంలో గుర్తించబడిన ఈ ఆపరేషన్, మైక్రోసాఫ్ట్ టీమ్స్ ద్వారా సోషల్ ఇంజనీరింగ్‌పై ఎక్కువగా ఆధారపడింది. దాడి చేసేవారు బాధితులతో అత్యంత ఇంటరాక్టివ్ ఎంగేజ్‌మెంట్ సెషన్‌లను నిర్వహించారు, క్రెడెన్షియల్స్‌ను సేకరించడానికి మరియు మల్టీ-ఫ్యాక్టర్ అథెంటికేషన్ ప్రక్రియలను తారుమారు చేయడానికి స్క్రీన్-షేరింగ్ ఫంక్షనాలిటీని ఉపయోగించుకున్నారు. యాక్సెస్ పొందిన తర్వాత, ఈ ముప్పు కలిగించేవారు భారీ-స్థాయి ఫైల్ ఎన్‌క్రిప్షన్ వంటి సాంప్రదాయ రాన్సమ్‌వేర్ వ్యూహాలను విడిచిపెట్టి, దానికి బదులుగా డేటా దొంగతనం, రహస్యంగా కొనసాగడం మరియు రిమోట్ మేనేజ్‌మెంట్ యుటిలిటీల ద్వారా దీర్ఘకాలిక నెట్‌వర్క్ యాక్సెస్‌పై దృష్టి పెట్టారు.

ప్రభుత్వ కార్యకలాపాలను దాచిపెట్టడానికి ఉపయోగించే సైబర్ క్రైమ్ వ్యూహాలు

సైబర్ నేరగాళ్ల వ్యవస్థలతో సాధారణంగా ముడిపడి ఉన్న సాధనాలు మరియు పద్ధతులను అవలంబించడం ద్వారా, తమ గుర్తింపును మరుగుపరచడానికి మడ్డీవాటర్ ఉద్దేశపూర్వకంగా చేస్తున్న ప్రయత్నమే ఈ ప్రచారం అని పరిశోధకులు భావిస్తున్నారు. ఈ బృందం, క్యాసిల్‌రాట్ మరియు సుందరే వంటి సాధనాలతో సహా, వాణిజ్యపరంగా అందుబాటులో ఉన్న రహస్య మాల్వేర్ మరియు రిమోట్ యాక్సెస్ ఫ్రేమ్‌వర్క్‌లను తమ కార్యకలాపాలలో క్రమంగా అనుసంధానిస్తోంది.

ఈ వ్యూహం, గూఢచర్యం మరియు విధ్వంసక కార్యకలాపాలను రాన్సమ్‌వేర్ తరహా ఆపరేషన్లతో మిళితం చేసిన గత మడ్డీవాటర్ ప్రచారాలకు అనుగుణంగా ఉంది. 2020లో, ఈ బృందం థానోస్ రాన్సమ్‌వేర్ యొక్క విధ్వంసకర రూపాంతరాన్ని ప్రయోగించడానికి పవ్‌గూప్ లోడర్‌ను ఉపయోగించి ప్రధాన ఇజ్రాయెల్ సంస్థలను లక్ష్యంగా చేసుకుంది. 2023లో, రాన్సమ్‌వేర్ సంఘటనల ముసుగులో జరిగిన దాడుల సమయంలో, డార్క్‌బిట్ అనే మారుపేరుతో సంబంధం ఉన్న DEV-1084 అనే వ్యక్తితో ఈ బృందానికి సంబంధం ఉందని మైక్రోసాఫ్ట్ గుర్తించింది. 2025 చివరి నాటికి, ఇరాన్‌తో సంబంధం ఉన్న ఆపరేటర్లు ఒక ఇజ్రాయెల్ ప్రభుత్వ ఆసుపత్రిపై కిలిన్ రాన్సమ్‌వేర్‌ను ఉపయోగించినట్లు కూడా అనుమానించబడింది.

భద్రతా పరిశోధకులు ఈ తాజా దాడిలో, విస్తృత భౌగోళిక రాజకీయ లక్ష్యాలను అనుసరిస్తూ, ఇప్పటికే స్థిరపడిన సైబర్ నేర మౌలిక సదుపాయాల ద్వారా పనిచేస్తున్న ఇరాన్ అనుబంధ ఆపరేటర్లు పాల్గొని ఉండవచ్చని నిర్ధారించారు. కిలిన్ వాడకం మరియు రాన్సమ్‌వేర్ అనుబంధ పర్యావరణ వ్యవస్థలలో భాగస్వామ్యం, దాడి చేసేవారికి కార్యాచరణ రక్షణను, తాము దాడి చేయలేదని నమ్మించే నిరాకరణను, మరియు పరిణతి చెందిన దాడి సామర్థ్యాలను అందించడంతో పాటు, ఇజ్రాయెల్ యొక్క కట్టుదిట్టమైన రక్షణ పర్యవేక్షణ నుండి తప్పించుకోవడానికి కూడా సహాయపడి ఉండవచ్చు.

Chaos RaaS: పెరుగుతున్న దోపిడీ పర్యావరణ వ్యవస్థ

2025 ప్రారంభంలో, తీవ్రమైన ద్వంద్వ-దోపిడీ వ్యూహాలకు పేరుగాంచిన రాన్సమ్‌వేర్-యాజ్-ఎ-సర్వీస్ ఆపరేషన్‌గా 'కేయాస్' ఆవిర్భవించింది. ఈ బృందం RAMP మరియు RehubCom వంటి అండర్‌గ్రౌండ్ సైబర్‌క్రైమ్ ఫోరమ్‌లలో తమ అనుబంధ ప్రోగ్రామ్‌ను ప్రచారం చేసి, తమ కార్యకలాపాల పరిధిని వేగంగా విస్తరించింది.

గందరగోళ ప్రచారాలు సాధారణంగా ఇమెయిల్ ఫ్లడ్డింగ్, వాయిస్ ఫిషింగ్ మరియు మైక్రోసాఫ్ట్ టీమ్స్ నకిలీ దాడులను మిళితం చేస్తాయి, వీటిలో ముప్పు కలిగించేవారు ఐటి సహాయక సిబ్బందిగా నటిస్తారు. బాధితులను మోసగించి మైక్రోసాఫ్ట్ క్విక్ అసిస్ట్ వంటి రిమోట్ యాక్సెస్ అప్లికేషన్‌లను ఇన్‌స్టాల్ చేయిస్తారు, ఇది దాడి చేసేవారికి కార్పొరేట్ వాతావరణంలో పాగా వేయడానికి వీలు కల్పిస్తుంది. ఆ తర్వాత వారు అధికారాలను పెంచుకుంటూ, ఇతర విభాగాలకు విస్తరిస్తూ, రాన్సమ్‌వేర్ పేలోడ్‌లను మోహరిస్తారు.

ఈ బృందం మరింత దూకుడుగా ఉండే దోపిడీ పద్ధతులను కూడా ప్రదర్శించింది:

• డేటా దొంగతనం మరియు బెదిరింపుల ద్వారా ద్వంద్వ దోపిడీ
• డిస్ట్రిబ్యూటెడ్ డినయల్-ఆఫ్-సర్వీస్ (DDoS) దాడుల బెదిరింపులతో కూడిన త్రివిధ దోపిడీ
• బాధితులపై ఒత్తిడిని తీవ్రతరం చేయడానికి కస్టమర్‌లు, భాగస్వాములు లేదా పోటీదారులను సంప్రదిస్తామని బెదిరించడం వంటి నాలుగు రకాల దోపిడీ వ్యూహాలు

మార్చి 2026 నాటికి, 'కేయాస్' తన లీక్ ప్లాట్‌ఫామ్‌పై 36 బాధితులను లక్ష్యంగా చేసుకుంది, వీరిలో అత్యధిక సంస్థలు యునైటెడ్ స్టేట్స్‌లో ఉన్నాయి. నిర్మాణ, ఉత్పాదక, మరియు వ్యాపార సేవల రంగాలు అత్యంత తీవ్రంగా లక్ష్యంగా చేసుకున్న పరిశ్రమలలో కనిపించాయి.

చొరబాటు యొక్క శరీర నిర్మాణ శాస్త్రం

దర్యాప్తు చేయబడిన చొరబాటు సమయంలో, దాడి చేసినవారు ఉద్యోగుల నమ్మకాన్ని పొందడానికి మరియు స్క్రీన్-షేరింగ్ సెషన్‌లను ప్రోత్సహించడానికి వారితో బాహ్య మైక్రోసాఫ్ట్ టీమ్స్ సంభాషణలను ప్రారంభించారు. ఆ తర్వాత, హ్యాక్ చేయబడిన వినియోగదారు ఖాతాలను నిఘా, నిరంతర పర్యవేక్షణ, పార్శ్వ బదిలీ మరియు డేటా బహిష్కరణ కోసం ఉపయోగించుకున్నారు.

బాధితుల సిస్టమ్‌లకు కనెక్ట్ అయినప్పుడు, దాడి చేసినవారు నిఘా ఆదేశాలను అమలు చేశారు, VPN-సంబంధిత ఫైళ్లను యాక్సెస్ చేశారు మరియు స్థానికంగా సృష్టించిన టెక్స్ట్ డాక్యుమెంట్‌లలోకి తమ ఆధారాలను మాన్యువల్‌గా నమోదు చేయమని వినియోగదారులకు సూచించారు. అనేక సందర్భాల్లో, రిమోట్ యాక్సెస్ సామర్థ్యాలను బలోపేతం చేయడానికి AnyDesk ఇన్‌స్టాల్ చేయబడింది.

ముప్పు కలిగించేవారు అదనంగా రిమోట్ డెస్క్‌టాప్ ప్రోటోకాల్ (RDP)ను ఉపయోగించి, curl యుటిలిటీ ద్వారా 172.86.126.208 అనే బాహ్య సర్వర్ చిరునామా నుండి “ms_upd.exe” అనే ఎగ్జిక్యూటబుల్‌ను పొందారు. ఒకసారి ప్రారంభించబడిన తర్వాత, ఆ మాల్వేర్ అదనపు హానికరమైన భాగాలను మోహరించడానికి మరియు నిరంతర కమాండ్-అండ్-కంట్రోల్ కమ్యూనికేషన్‌లను స్థాపించడానికి రూపొందించబడిన బహుళ-దశల ఇన్ఫెక్షన్ గొలుసును ప్రారంభించింది.

ఈ ప్రచారం వెనుక మాల్వేర్ ఆయుధాగారం

ఈ ఇన్ఫెక్షన్ గొలుసులో అనేక విభిన్న మాల్వేర్ భాగాలు ఉన్నాయి, ఇవి తమ ఉనికిని కొనసాగించడానికి మరియు రిమోట్ కమాండ్‌లను అమలు చేయడానికి కలిసి పనిచేశాయి:

• 'ms_upd.exe' (Stagecomp) సిస్టమ్ సమాచారాన్ని సేకరించి, 'game.exe,' 'WebView2Loader.dll,' మరియు 'visualwincomp.txt' వంటి ద్వితీయ పేలోడ్‌లను డౌన్‌లోడ్ చేయడానికి ఒక కమాండ్-అండ్-కంట్రోల్ సర్వర్‌ను సంప్రదించింది.
• 'game.exe' (Darkcomp) అనేది, అధికారిక WebView2APISample ప్రాజెక్ట్ ఆధారంగా రూపొందించబడిన ఒక చట్టబద్ధమైన Microsoft WebView2 అప్లికేషన్‌గా నటిస్తూ, ఒక కస్టమ్ రిమోట్ యాక్సెస్ ట్రోజన్‌గా పనిచేసింది.

• మైక్రోసాఫ్ట్ ఎడ్జ్ వెబ్‌వ్యూ2 కార్యాచరణకు అవసరమైన చట్టబద్ధమైన డిపెండెన్సీగా 'WebView2Loader.dll' పనిచేసింది.

• 'visualwincomp.txt' ఫైల్‌లో, కమాండ్-అండ్-కంట్రోల్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను గుర్తించడానికి RAT ఉపయోగించే ఎన్‌క్రిప్టెడ్ కాన్ఫిగరేషన్ డేటా ఉంది.

ఒకసారి క్రియాశీలమైన తర్వాత, రిమోట్ యాక్సెస్ ట్రోజన్ ప్రతి 60 సెకన్లకు దాని కమాండ్ సర్వర్‌తో నిరంతరం సంభాషిస్తూ, ఆపరేటర్లకు పవర్‌షెల్ స్క్రిప్ట్‌లను అమలు చేయడానికి, సిస్టమ్ కమాండ్‌లను అమలు చేయడానికి, ఫైల్‌లను మార్చడానికి మరియు ఇంటరాక్టివ్ కమాండ్-లైన్ సెషన్‌లను ప్రారంభించడానికి వీలు కల్పించింది.

ఆపరేషన్‌ను మడ్డీవాటర్‌తో అనుసంధానించే సాక్ష్యం

'ms_upd.exe' మాల్వేర్ నమూనాపై సంతకం చేయడానికి ఉపయోగించిన, 'డొనాల్డ్ గే'కు సంబంధించిన ఒక కోడ్-సైనింగ్ సర్టిఫికేట్‌ను కనుగొనడం ద్వారా, ఈ మాల్వేర్‌కు మడ్డీవాటర్‌దేనని నిర్ధారణ బలపడింది. ఇదే సర్టిఫికేట్‌ను గతంలో ఫేక్‌సెట్ అని పిలువబడే క్యాసిల్‌లోడర్ డౌన్‌లోడర్ వేరియంట్‌తో సహా మడ్డీవాటర్ మాల్వేర్‌తో అనుసంధానించారు.

ప్రభుత్వ-ప్రాయోజిత గూఢచర్య కార్యకలాపాలకు, సైబర్ నేరగాళ్ల కార్యాచరణ పద్ధతులకు మధ్య ఈ ఆపరేషన్‌లో గణనీయమైన సారూప్యత ఉందని పరిశోధకులు గుర్తించారు. రాన్సమ్‌వేర్ బ్రాండింగ్, బెదిరింపు సంప్రదింపులు, మరియు వాణిజ్యపరంగా అందుబాటులో ఉన్న మాల్‌వేర్ ఫ్రేమ్‌వర్క్‌ల ఏకీకరణ, నేరస్థుడిని గుర్తించే ప్రయత్నాలను సంక్లిష్టం చేసింది. అంతేకాకుండా, రిమోట్ యాక్సెస్ సాధనాల ద్వారా ఏర్పాటు చేసిన దీర్ఘకాలిక నిరోధక యంత్రాంగాల వైపు కాకుండా, రక్షణ దృష్టిని తక్షణ రాన్సమ్ ప్రతిస్పందన కార్యకలాపాల వైపు మళ్లించింది.

దాడి ఎందుకు ప్రత్యేకంగా నిలిచింది

ఈ ప్రచారంలో అత్యంత అసాధారణమైన అంశాలలో ఒకటి, Chaos రాన్సమ్‌వేర్ భాగాలను ఉపయోగించినప్పటికీ, ఫైల్ ఎన్‌క్రిప్షన్ విస్తృతంగా జరగకపోవడం. సాధారణ రాన్సమ్‌వేర్ ప్రవర్తన నుండి ఈ విచలనం, రాన్సమ్‌వేర్ భాగం ప్రాథమిక మిషన్ లక్ష్యంగా కాకుండా, ప్రధానంగా ఒక మభ్యపెట్టే ఎత్తుగడగా లేదా కార్యాచరణ తప్పుదారి పట్టించే సాధనంగా పనిచేసిందని గట్టిగా సూచిస్తుంది.

ప్రభుత్వ నిర్దేశిత కార్యకలాపాలలో సైబర్‌క్రైమ్ సాధనాలను చేర్చడం అనేది ఇరాన్ ముప్పు కలిగించే శక్తులలో పెరుగుతున్న ధోరణి అని కూడా ఈ ప్రచారం స్పష్టం చేస్తుంది. ఇప్పటికే ఉన్న రహస్య మౌలిక సదుపాయాలు మరియు మాల్వేర్ వ్యవస్థలను ఉపయోగించుకోవడం ద్వారా, మడ్డీవాటర్ వంటి బృందాలు అధిక కార్యాచరణ సౌలభ్యాన్ని పొందుతాయి, అంతర్గత అభివృద్ధి ఖర్చులను తగ్గిస్తాయి, మరియు రక్షకులు, నిఘా విశ్లేషకులు ఇద్దరికీ నేరస్థులను గుర్తించే ప్రయత్నాలను గణనీయంగా క్లిష్టతరం చేస్తాయి.