Бекдор MuddyViper
Нещодавня хвиля шпигунської діяльності зосередилася на широкому колі ізраїльських організацій у сфері науки, інженерії, місцевого самоврядування, виробництва, технологій, транспорту та комунальних послуг. Операція, яку приписують іранським державним акторам, запровадила раніше невідомий бекдор під назвою MuddyViper, що сигналізує про нову ескалацію тактики угруповання. Одна єгипетська технологічна фірма також опинилася під прицілом, кампанія тривала з кінця вересня 2024 року до середини березня 2025 року.
Зміст
Знайомий супротивник із розширенням можливостей
Ці атаки пов'язують з MuddyWater, також відомою як Mango Sandstorm, Static Kitten або TA450, групою, яка, за оцінками, діє під егідою Міністерства розвідки та безпеки Ірану. MuddyWater, яка діє щонайменше з 2017 року, має довгий досвід шпигунства та руйнівних дій, включаючи попередні кампанії POWERSTATS та використання програмного забезпечення-вимагача PowGoop під час операції Quicksand.
Згідно з опублікованими висновками, угруповання продовжує завдавати ударів по ізраїльських цілях, що охоплюють місцеву владу, повітряний транспорт, туризм, медичні послуги, телекомунікаційні мережі, постачальників ІТ-послуг та малі та середні підприємства.
Їхній еволюціонуючий сценарій: від соціальної інженерії до використання слабких місць VPN
Зазвичай зловмисник покладається на фішингові електронні листи та зловживання відомими вразливостями VPN для отримання доступу. Історично склалося так, що ці вторгнення передбачали розгортання легітимних інструментів віддаленого адміністрування — відмінна риса діяльності MuddyWater. Однак, з травня 2024 року їхні фішингові електронні листи почали містити прихований бекдор, відомий як BugSleep (також відомий як MuddyRot), що демонструє зсув у бік більш персоналізованих інструментів.
Ширший арсенал групи є великим і включає Blackout, AnchorRat, CannonRat, Neshta та фреймворк Sad C2, який допомагає поширювати такі завантажувачі, як TreasureBox та BlackPearl RAT.
Фішинг залишається першим кроком
Остання хвиля атак все ще починається зі шкідливих електронних листів, що містять PDF-файли. Ці PDF-файли вказують жертвам на завантаження широко використовуваних інструментів віддаленого доступу, таких як Atera, Level, PDQ та SimpleHelp. Як тільки здобуто плацдарм, зловмисники переходять до розгортання більш спеціалізованих компонентів.
Представляємо Fooder та MuddyViper
У цій кампанії помітно представлений завантажувач під назвою Fooder, створений для розшифровки та виконання бекдору MuddyViper на основі C/C++. Варіанти Fooder також розповсюджували утиліти тунелювання go-socks5 та інструмент з відкритим кодом HackBrowserData для збору даних браузерів з численних платформ (за винятком Safari).
MuddyViper сам по собі надає широкий контроль, дозволяючи операторам збирати системні відомості, запускати файли та команди, переміщувати дані в систему та викрадати облікові дані Windows та інформацію браузера. Він підтримує 20 вбудованих команд для забезпечення прихованого доступу. Деякі варіанти Fooder маскуються під класичну гру «Змійка» та покладаються на затримку виконання, щоб обійти виявлення, техніку, вперше відзначену у вересні 2025 року.
Додаткові інструменти, що спостерігаються під час операції
Дослідники також задокументували розгортання кількох допоміжних утиліт, призначених для збереження даних, крадіжки облікових даних та збору даних:
VAXOne – бекдор, що маскується під Veeam, AnyDesk, Xerox або засіб оновлення OneDrive.
CE-Notes – інструмент для крадіжки даних браузера, розроблений для обходу шифрування Chrome, пов’язаного з програмами, шляхом крадіжки ключа шифрування Local State.
Blub – викрадач AC/C++, який збирає дані для входу з Chrome, Edge, Firefox та Opera.
LP-Notes – інструмент для збору облікових даних AC/C++, який відображає шахрайське запит безпеки Windows, щоб обманом змусити користувачів ввести свої дані для входу.
Співпраця з ліцеєм: виявляється операційне перекриття
Розслідування показало, що діяльність MuddyWater перетиналася з операціями Lyceum (також відомої як Hexane, Spirlin або Siamesekitten), підгрупи OilRig (APT34), яка займається регіональним кібершпигунством щонайменше з 2018 року.
Під час інцидентів, виявлених на початку 2025 року, MuddyWater, ймовірно, діяла як початковий брокер доступу всередині ізраїльської виробничої організації, розгортаючи інструменти віддаленого робочого столу та спеціалізований завантажувач Mimikatz. Викрадені облікові дані, ймовірно, потім були використані Lyceum для розширення доступу та отримання операційного контролю.
Ознака зростання операційної зрілості
Впровадження нових компонентів, зокрема завантажувача Fooder та бекдора MuddyViper, свідчить про помітний прогрес у технічній та операційній досконалості MuddyWater. Група явно інвестує в більш приховані механізми збереження даних, ефективнішу крадіжку облікових даних та глибші можливості розвідки.
Ця кампанія підкреслює постійну та зростаючу загрозу з боку пов'язаних з Іраном кібероператорів. Їхнє поєднання спеціалізованого шкідливого програмного забезпечення, прихованих завантажувачів, легітимних інструментів віддаленого адміністрування та міжгрупової співпраці свідчить про те, що організації в регіоні повинні залишатися в стані підвищеної пильності та посилювати захист від дедалі складніших стратегій вторгнення.
