Multi-License Discount Quote
Banta sa Database Malware Pag-atake ng MuddyWater False Flag Ransomware

Pag-atake ng MuddyWater False Flag Ransomware

Sa pamamagitan ng Mezo sa Malware, Advanced Persistent Threat (APT)
Isalin To:

Ang grupong banta na itinataguyod ng estado ng Iran na MuddyWater, na sinusubaybayan din sa ilalim ng mga alyas tulad ng Mango Sandstorm, Seedworm, at Static Kitten, ay iniugnay sa isang sopistikadong kampanya ng ransomware na inilarawan ng mga imbestigador bilang isang operasyong false-flag. Bagama't ang panghihimasok sa simula ay kahawig ng aktibidad na nauugnay sa isang kumbensyonal na operasyon ng Ransomware-as-a-Service (RaaS) gamit ang tatak na Chaos ransomware, ang mas malalim na pagsusuri ay nagsiwalat ng mga katangiang naaayon sa isang naka-target na cyberattack na itinataguyod ng estado na nagbabalatkayo bilang pangingikil na may motibasyon sa pananalapi.

Ang operasyon, na kinilala noong unang bahagi ng 2026, ay lubos na umaasa sa social engineering sa pamamagitan ng Microsoft Teams. Nagsagawa ang mga umaatake ng mga lubos na interactive na sesyon ng pakikipag-ugnayan sa mga biktima, gamit ang functionality ng pagbabahagi ng screen upang makuha ang mga kredensyal at manipulahin ang mga proseso ng multi-factor authentication. Matapos makakuha ng access, tinalikuran ng mga aktor ng banta ang mga tradisyonal na taktika ng ransomware tulad ng malawakang pag-encrypt ng file at sa halip ay nagtuon sa pagnanakaw ng data, palihim na pagtitiyaga, at pangmatagalang pag-access sa network sa pamamagitan ng mga remote management utility.

Cybercrime Tradecraft na Ginagamit upang Itago ang mga Operasyon ng Estado

Naniniwala ang mga mananaliksik na ang kampanya ay sumasalamin sa isang sinasadyang pagsisikap ng MuddyWater na itago ang pagpapatungkol sa pamamagitan ng pag-aampon ng mga tool at pamamaraan na karaniwang nauugnay sa mga cybercriminal ecosystem. Ang grupo ay lalong nagsasama ng mga komersyal na magagamit na underground malware at mga remote access framework sa mga operasyon nito, kabilang ang mga tool tulad ng CastleRAT at Tsundere.

Ang taktikang ito ay naaayon sa mga nakaraang kampanya ng MuddyWater na pinaghalo ang paniniktik at mapanirang aktibidad sa mga operasyong istilo-ransomware. Noong 2020, tinarget ng grupo ang mga pangunahing organisasyong Israeli gamit ang PowGoop loader upang mag-deploy ng isang mapanirang variant ng Thanos ransomware. Noong 2023, iniugnay ng Microsoft ang grupo sa DEV-1084, isang aktor na nauugnay sa persona ng DarkBit, sa mga pag-atake na nagbalatkayo bilang mga insidente ng ransomware. Pagsapit ng huling bahagi ng 2025, pinaghihinalaan din ang mga operator na nauugnay sa Iran na gumagamit ng Qilin ransomware laban sa isang ospital ng gobyerno ng Israel.

Napagpasyahan ng mga mananaliksik sa seguridad na ang pinakabagong kampanya ay malamang na kinasasangkutan ng mga operator na kaakibat ng Iran na tumatakbo sa pamamagitan ng mga itinatag na imprastraktura ng cybercriminal habang hinahabol ang mas malawak na mga layuning geopolitikal. Ang paggamit ng Qilin at pakikilahok sa mga ecosystem na kaakibat ng ransomware ay malamang na nagbigay ng panangga sa operasyon, makatwirang pagtanggi, at access sa mga mature na kakayahan sa pag-atake habang tinutulungan ang mga umaatake na maiwasan ang mas mataas na pagsubaybay sa depensa ng Israel.

Chaos RaaS: Isang Lumalagong Ekosistema ng Pangingikil

Lumitaw ang Chaos noong unang bahagi ng 2025 bilang isang operasyon ng Ransomware-as-a-Service na kilala sa agresibong mga taktika ng dobleng pangingikil. Itinaguyod ng grupo ang programang kaakibat nito sa mga lihim na forum ng cybercrime tulad ng RAMP at RehubCom at mabilis na pinalawak ang saklaw ng operasyon nito.

Karaniwang pinagsasama ng mga kampanyang chaos ang pagbaha ng email, voice phishing, at mga pag-atake ng panggagaya ng Microsoft Teams kung saan ang mga aktor ng banta ay nagpapanggap bilang mga kawani ng suporta sa IT. Minamanipula ang mga biktima upang mag-install ng mga remote access application tulad ng Microsoft Quick Assist, na nagbibigay-daan sa mga umaatake na magtatag ng mga foothold sa loob ng mga kapaligirang pangkorporasyon bago palakihin ang mga pribilehiyo, gumalaw nang pahilig, at mag-deploy ng mga payload ng ransomware.

Nagpakita rin ang grupo ng lalong agresibong mga modelo ng pangingikil:

  • Dobleng pangingikil sa pamamagitan ng pagnanakaw ng datos at paghingi ng pantubos
  • Triple extortion na kinasasangkutan ng mga banta ng distributed denial-of-service (DDoS) attacks
  • Mga taktika ng pangingikil na may apat na beses na kinabibilangan ng mga banta na makipag-ugnayan sa mga customer, kasosyo, o kakumpitensya upang palakasin ang presyon sa mga biktima

Pagsapit ng Marso 2026, 36 na biktima na ang naitalang biktima ng Chaos dahil sa leak platform nito, kung saan karamihan sa mga organisasyon ay nasa Estados Unidos. Ang sektor ng konstruksyon, pagmamanupaktura, at mga serbisyo sa negosyo ay lumitaw na kabilang sa mga industriyang pinakamatinding tinatarget.

Anatomiya ng Panghihimasok

Sa panahon ng iniimbestigahang panghihimasok, sinimulan ng mga umaatake ang mga panlabas na pag-uusap sa Microsoft Teams kasama ang mga empleyado upang makakuha ng tiwala at hikayatin ang mga sesyon ng pagbabahagi ng screen. Ang mga nakompromisong user account ay ginamit para sa pagmamanman, pagtitiyaga, paggalaw sa gilid, at pag-exfiltration ng data.

Habang nakakonekta sa mga sistema ng biktima, nagsagawa ang mga attacker ng mga reconnaissance command, nag-access ng mga file na may kaugnayan sa VPN, at nag-utos sa mga user na manu-manong maglagay ng mga credential sa mga lokal na ginawang text document. Sa ilang pagkakataon, na-install ang AnyDesk upang palakasin ang mga kakayahan sa remote access.

Bukod pa rito, ginamit ng mga aktor ng banta ang Remote Desktop Protocol (RDP) upang makuha ang isang executable na pinangalanang "ms_upd.exe" mula sa external server address na 172.86.126.208 gamit ang curl utility. Nang mailunsad, sinimulan ng malware ang isang multi-stage infection chain na idinisenyo upang mag-deploy ng mga karagdagang malisyosong bahagi at magtatag ng mga persistent command-and-control na komunikasyon.

Malware Arsenal sa Likod ng Kampanya

Ang kadena ng impeksyon ay nagsama ng ilang natatanging bahagi ng malware na nagtulungan upang mapanatili ang persistence at maisagawa ang mga remote command:

  • Nangolekta ng impormasyon ng system ang 'ms_upd.exe' (Stagecomp) at nakipag-ugnayan sa isang command-and-control server upang mag-download ng mga secondary payload kabilang ang 'game.exe,' 'WebView2Loader.dll,' at 'visualwincomp.txt'
  • Ang 'game.exe' (Darkcomp) ay gumana bilang isang custom remote access trojan na nagkukunwaring isang lehitimong Microsoft WebView2 application batay sa opisyal na proyektong WebView2APISample
  • Ang 'WebView2Loader.dll' ay nagsilbing isang lehitimong dependency na kinakailangan para sa functionality ng Microsoft Edge WebView2
  • Ang 'visualwincomp.txt' ay naglalaman ng naka-encrypt na datos ng configuration na ginagamit ng RAT upang matukoy ang command-and-control infrastructure.

Kapag aktibo na, ang remote access trojan ay patuloy na nakikipag-ugnayan sa command server nito kada 60 segundo, na nagpapahintulot sa mga operator na magpatakbo ng mga PowerShell script, magpatakbo ng mga system command, manipulahin ang mga file, at maglabas ng mga interactive command-line session.

Ebidensya na Nag-uugnay sa Operasyon sa MuddyWater

Ang pag-uugnay sa MuddyWater ay pinatibay sa pamamagitan ng pagtuklas ng isang code-signing certificate na nauugnay sa 'Donald Gay,' na ginamit upang lagdaan ang sample ng malware na 'ms_upd.exe'. Ang parehong sertipiko ay dating na-link sa MuddyWater malware, kabilang ang isang variant ng CastleLoader downloader na kilala bilang Fakeset.

Napansin ng mga mananaliksik na ang operasyon ay nagpakita ng isang makabuluhang pagtatagpo sa pagitan ng aktibidad ng paniniktik na inisponsor ng estado at mga pamamaraan ng operasyon ng cybercriminal. Ang pagsasama ng branding ng ransomware, mga negosasyon sa pangingikil, at mga komersyal na magagamit na balangkas ng malware ay nagpakomplikado sa mga pagsisikap sa pagpapatungkol at inilihis ang atensyon sa pagtatanggol patungo sa mga agarang aktibidad ng pagtugon sa ransom sa halip na mga mekanismo ng pangmatagalang pagtitiyaga na itinatag sa pamamagitan ng mga tool sa malayuang pag-access.

Bakit Namumukod-tangi ang Pag-atake

Isa sa mga pinaka-hindi pangkaraniwang aspeto ng kampanya ay ang maliwanag na kawalan ng malawakang pag-encrypt ng file sa kabila ng paggamit ng mga artifact ng Chaos ransomware. Ang paglihis na ito mula sa karaniwang pag-uugali ng ransomware ay mariing nagmumungkahi na ang bahagi ng ransomware ay pangunahing gumana bilang pagbabalatkayo o paglihis sa direksyon ng operasyon sa halip na ang pangunahing layunin ng misyon.

Itinatampok din ng kampanya ang lumalaking trend sa mga aktor ng banta ng Iran na isama ang paggamit ng cybercrime tooling sa mga operasyong pinangangasiwaan ng estado. Sa pamamagitan ng paggamit ng mga umiiral na imprastraktura sa ilalim ng lupa at mga ecosystem ng malware, ang mga grupong tulad ng MuddyWater ay nagkakaroon ng mas malawak na kakayahang umangkop sa operasyon, binabawasan ang mga gastos sa panloob na pag-unlad, at lubos na pinapakomplikado ang mga pagsisikap sa pagpapatungkol para sa mga tagapagtanggol at mga analyst ng paniktik.

Trending

Pinaka Nanood

Naglo-load...