MuddyViper แบ็คดอร์

กระแสการจารกรรมล่าสุดพุ่งเป้าไปที่องค์กรอิสราเอลหลากหลายแขนง ทั้งในด้านวิชาการ วิศวกรรม รัฐบาลท้องถิ่น การผลิต เทคโนโลยี การขนส่ง และสาธารณูปโภค ปฏิบัติการดังกล่าวซึ่งเชื่อว่าเป็นฝีมือของกลุ่มที่สนับสนุนรัฐบาลอิหร่าน ได้เปิดช่องโหว่ที่ไม่เคยมีใครรู้จักมาก่อนชื่อว่า MuddyViper ซึ่งเป็นสัญญาณบ่งบอกถึงการยกระดับกลยุทธ์ของกลุ่ม นอกจากนี้ บริษัทเทคโนโลยีแห่งหนึ่งในอียิปต์ก็ตกเป็นเป้าโจมตีเช่นกัน โดยปฏิบัติการนี้ดำเนินมาตั้งแต่ปลายเดือนกันยายน 2567 ถึงกลางเดือนมีนาคม 2568

ศัตรูที่คุ้นเคยพร้อมความสามารถที่ขยายตัว

การโจมตีครั้งนี้เชื่อมโยงกับ MuddyWater หรือที่รู้จักกันในชื่อ Mango Sandstorm, Static Kitten หรือ TA450 ซึ่งเป็นกลุ่มที่ถูกประเมินว่าปฏิบัติการภายใต้กระทรวงข่าวกรองและความมั่นคงของอิหร่าน MuddyWater ปฏิบัติการมาตั้งแต่ปี 2017 เป็นอย่างน้อย และมีประวัติการจารกรรมและการทำลายล้างมาอย่างยาวนาน รวมถึงแคมเปญ POWERSTATS ก่อนหน้านี้ และการใช้แรนซัมแวร์ PowGoop ระหว่างปฏิบัติการ Quicksand

ตามผลการค้นพบที่เผยแพร่ กลุ่มดังกล่าวยังคงโจมตีเป้าหมายในอิสราเอล ซึ่งครอบคลุมถึงหน่วยงานท้องถิ่น การขนส่งทางอากาศ การท่องเที่ยว บริการด้านสุขภาพ เครือข่ายโทรคมนาคม ผู้ให้บริการไอที และ SME

คู่มือการพัฒนาของพวกเขา: จากวิศวกรรมสังคมสู่การใช้ประโยชน์จากจุดอ่อนของ VPN

ผู้ก่อภัยคุกคามมักอาศัยอีเมลฟิชชิงแบบเจาะจง (Spear-phishing) และการใช้ช่องโหว่ VPN ที่ทราบแล้วเพื่อเข้าถึงระบบ ในอดีต การบุกรุกเหล่านี้เกี่ยวข้องกับการใช้เครื่องมือบริหารจัดการระยะไกลที่ถูกต้องตามกฎหมาย ซึ่งเป็นเอกลักษณ์เฉพาะของ MuddyWater อย่างไรก็ตาม ตั้งแต่เดือนพฤษภาคม 2567 อีเมลฟิชชิงของพวกเขาได้เริ่มส่งช่องโหว่ลับที่เรียกว่า BugSleep (หรือที่เรียกว่า MuddyRot) ซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงไปสู่การใช้เครื่องมือที่ปรับแต่งตามความต้องการมากขึ้น

คลังอาวุธที่กว้างขวางของกลุ่มนั้นครอบคลุมและประกอบไปด้วย Blackout, AnchorRat, CannonRat, Neshta และเฟรมเวิร์ก Sad C2 ซึ่งช่วยเผยแพร่โหลดเดอร์เช่น TreasureBox และ BlackPearl RAT

ฟิชชิ่งยังคงเป็นขั้นตอนแรก

การโจมตีระลอกล่าสุดยังคงเริ่มต้นด้วยอีเมลอันตรายที่มีไฟล์แนบ PDF ซึ่งไฟล์ PDF เหล่านี้จะนำเหยื่อไปยังการดาวน์โหลดเครื่องมือระยะไกลที่ใช้กันอย่างแพร่หลาย เช่น Atera, Level, PDQ และ SimpleHelp เมื่อได้ฐานที่มั่นแล้ว ผู้โจมตีจะย้ายไปยังส่วนเสริมเฉพาะทางมากขึ้น

แนะนำ Fooder และ MuddyViper

แคมเปญนี้โดดเด่นด้วยตัวโหลดชื่อ Fooder ซึ่งสร้างขึ้นเพื่อถอดรหัสและรันแบ็กดอร์ MuddyViper ที่ใช้ C/C++ นอกจากนี้ Fooder เวอร์ชันต่างๆ ยังถูกพบเห็นการกระจายยูทิลิตี้สำหรับสร้างอุโมงค์ go-socks5 และเครื่องมือ HackBrowserData แบบโอเพนซอร์สเพื่อรวบรวมข้อมูลเบราว์เซอร์จากแพลตฟอร์มต่างๆ (ยกเว้น Safari)

MuddyViper มอบการควบคุมที่ครอบคลุม ช่วยให้ผู้ปฏิบัติการสามารถรวบรวมรายละเอียดระบบ เรียกใช้ไฟล์และคำสั่ง ย้ายข้อมูลเข้าและออก และขโมยข้อมูลประจำตัว Windows และข้อมูลเบราว์เซอร์ รองรับคำสั่งในตัว 20 คำสั่งสำหรับการรักษาการเข้าถึงที่ซ่อนไว้ เวอร์ชัน Fooder บางเวอร์ชันปลอมตัวเป็นเกมงูคลาสสิกและอาศัยการดำเนินการที่ล่าช้าเพื่อหลีกเลี่ยงการตรวจจับ ซึ่งเป็นเทคนิคที่ค้นพบครั้งแรกในเดือนกันยายน 2025

เครื่องมือเพิ่มเติมที่สังเกตเห็นในการดำเนินการ

นักวิจัยยังได้บันทึกการใช้งานยูทิลิตี้สนับสนุนต่างๆ ที่ออกแบบมาสำหรับการคงอยู่ การขโมยข้อมูลประจำตัว และการรวบรวมข้อมูล:

VAXOne – แบ็กดอร์ที่แอบอ้างว่าเป็น Veeam, AnyDesk, Xerox หรือโปรแกรมอัปเดต OneDrive

CE-Notes – เครื่องมือขโมยข้อมูลเบราว์เซอร์ที่ออกแบบมาเพื่อหลีกเลี่ยงการเข้ารหัสที่ผูกกับแอปของ Chrome โดยการขโมยคีย์การเข้ารหัสสถานะท้องถิ่น

Blub – โปรแกรมขโมย AC/C++ ที่รวบรวมข้อมูลการเข้าสู่ระบบจาก Chrome, Edge, Firefox และ Opera

LP-Notes – เครื่องมือรวบรวมข้อมูลประจำตัว AC/C++ ที่แสดงคำเตือนด้านความปลอดภัยของ Windows เพื่อหลอกให้ผู้ใช้ป้อนรายละเอียดการเข้าสู่ระบบ

ความร่วมมือกับ Lyceum: เกิดการทับซ้อนในการปฏิบัติงาน

การสืบสวนเผยให้เห็นว่ากิจกรรมของ MuddyWater เกี่ยวข้องกับการปฏิบัติการของ Lyceum (หรือที่รู้จักกันในชื่อ Hexane, Spirlin หรือ Siamesekitten) ซึ่งเป็นกลุ่มย่อยของ OilRig (APT34) ที่เคลื่อนไหวในการจารกรรมทางไซเบอร์ในระดับภูมิภาคมาตั้งแต่ปี 2018 เป็นอย่างน้อย

ในเหตุการณ์ที่ระบุในช่วงต้นปี 2568 MuddyWater น่าจะทำหน้าที่เป็นนายหน้าเข้าถึงเบื้องต้นภายในองค์กรการผลิตของอิสราเอล โดยการติดตั้งเครื่องมือเดสก์ท็อประยะไกลและตัวโหลด Mimikatz ที่กำหนดเอง ข้อมูลประจำตัวที่ถูกขโมยไปนั้น Lyceum น่าจะใช้ประโยชน์จากข้อมูลประจำตัวเหล่านี้เพื่อขยายการเข้าถึงและควบคุมการปฏิบัติงาน

สัญญาณของความครบถ้วนในการดำเนินงานที่เพิ่มขึ้น

การเปิดตัวส่วนประกอบใหม่ โดยเฉพาะตัวโหลด Fooder และ MuddyViper backdoor แสดงให้เห็นถึงความก้าวหน้าที่โดดเด่นในด้านเทคนิคและการดำเนินงานอันซับซ้อนของ MuddyWater เห็นได้ชัดว่ากลุ่มนี้กำลังลงทุนในกลไกการคงอยู่แบบซ่อนเร้นที่มากขึ้น การขโมยข้อมูลประจำตัวที่มีประสิทธิภาพมากขึ้น และความสามารถในการลาดตระเวนที่ลึกขึ้น

แคมเปญนี้เน้นย้ำถึงภัยคุกคามที่ยังคงดำเนินต่อไปและขยายตัวจากผู้ปฏิบัติการทางไซเบอร์ที่สนับสนุนอิหร่าน การผสมผสานระหว่างมัลแวร์ที่ปรับแต่งได้ การโหลดแบบซ่อนเร้น เครื่องมือบริหารจัดการระยะไกลที่ถูกต้องตามกฎหมาย และการทำงานร่วมกันระหว่างกลุ่ม ชี้ให้เห็นว่าองค์กรต่างๆ ในภูมิภาคนี้จำเป็นต้องเพิ่มความระมัดระวังและเสริมสร้างการป้องกันตนเองจากกลยุทธ์การบุกรุกที่ซับซ้อนมากขึ้นเรื่อยๆ