Атака програм-вимагачів під фальшивим прапором MuddyWater
Іранська державна група зловмисників MuddyWater, яку також відстежують під такими псевдонімами, як Mango Sandstorm, Seedworm та Static Kitten, була пов'язана зі складною кампанією з розповсюдження програм-вимагачів, яку слідчі описують як операцію під хибним прапором. Хоча спочатку вторгнення нагадувало діяльність, пов'язану зі звичайною операцією Ransomware-as-a-Service (RaaS) з використанням бренду Chaos, глибший аналіз виявив характеристики, що відповідають цілеспрямованій державній кібератаці, замаскованій під фінансово мотивоване вимагання.
Операція, виявлена на початку 2026 року, значною мірою спиралася на соціальну інженерію через Microsoft Teams. Зловмисники проводили високоінтерактивні сеанси взаємодії з жертвами, використовуючи функцію спільного доступу до екрана для збору облікових даних та маніпулювання процесами багатофакторної автентифікації. Після отримання доступу зловмисники відмовилися від традиційних тактик програм-вимагачів, таких як шифрування файлів великого масштабу, і натомість зосередилися на крадіжці даних, прихованому збереженні даних та довгостроковому доступі до мережі за допомогою утиліт віддаленого керування.
Зміст
Кіберзлочинність: використання ремесел для приховування державних операцій
Дослідники вважають, що кампанія відображає навмисні зусилля MuddyWater щодо приховування атрибуції шляхом використання інструментів та методів, які зазвичай асоціюються з кіберзлочинними екосистемами. Група все частіше інтегрує комерційно доступне підпільне шкідливе програмне забезпечення та системи віддаленого доступу у свої операції, включаючи такі інструменти, як CastleRAT та Tsundere.
Ця тактика узгоджується з попередніми кампаніями MuddyWater, які поєднували шпигунство та деструктивну діяльність з операціями у стилі програм-вимагачів. У 2020 році група атакувала великі ізраїльські організації, використовуючи завантажувач PowGoop для розгортання деструктивного варіанту програми-вимагача Thanos. У 2023 році Microsoft пов'язала групу з DEV-1084, діячем, пов'язаним з персонажем DarkBit, під час атак, замаскованих під інциденти з програмами-вимагачами. До кінця 2025 року операторів, пов'язаних з Іраном, також підозрювали у використанні програми-вимагача Qilin проти ізраїльської урядової лікарні.
Дослідники з безпеки дійшли висновку, що в останній кампанії, ймовірно, брали участь пов'язані з Іраном оператори, які діяли через усталені кіберзлочинні інфраструктури, переслідуючи при цьому ширші геополітичні цілі. Використання Qilin та участь в екосистемах, пов'язаних з програмами-вимагачами, ймовірно, забезпечували оперативне прикриття, правдоподібне заперечення та доступ до розвинених можливостей атаки, водночас допомагаючи зловмисникам уникати посиленого оборонного моніторингу з боку Ізраїлю.
Chaos RaaS: зростаюча екосистема вимагання
Chaos виникла на початку 2025 року як операція Ransomware-as-a-Service, відома агресивною тактикою подвійного вимагання. Група просувала свою партнерську програму на підпільних форумах кіберзлочинності, таких як RAMP та RehubCom, і швидко розширила свій операційний охоплення.
Кампанії хаосу зазвичай поєднують розсилку електронної пошти, голосовий фішинг та атаки під виглядом Microsoft Teams, під час яких зловмисники видають себе за співробітників ІТ-служби. Жертв маніпулюють, змушуючи їх встановлювати програми віддаленого доступу, такі як Microsoft Quick Assist, що дозволяє зловмисникам закріпитися в корпоративному середовищі, перш ніж підвищувати привілеї, рухатися в нерівному напрямку та розгортати корисні навантаження програм-вимагачів.
Група також продемонструвала дедалі агресивніші моделі вимагання:
- Подвійне вимагання шляхом крадіжки даних та вимоги викупу
- Потрійне вимагання, пов'язане з погрозами розподілених атак типу "відмова в обслуговуванні" (DDoS)
- Порівняльна тактика вимагання, що включає погрози зв'язатися з клієнтами, партнерами або конкурентами для посилення тиску на жертв
До березня 2026 року Chaos забрала життя 36 осіб на своїй платформі витоків інформації, більшість з яких розташовані у Сполучених Штатах. Найбільше постраждали від кібератаки були сектори будівництва, виробництва та бізнес-послуг.
Анатомія вторгнення
Під час розслідуваного вторгнення зловмисники ініціювали зовнішні розмови Microsoft Teams зі співробітниками, щоб завоювати довіру та заохотити до сеансів спільного доступу до екрана. Скомпрометовані облікові записи користувачів потім використовувалися для розвідки, збереження даних, горизонтального переміщення та витоку даних.
Підключившись до систем жертв, зловмисники виконували команди розвідки, отримували доступ до файлів, пов’язаних із VPN, та доручали користувачам вручну вводити облікові дані в локально створені текстові документи. У кількох випадках AnyDesk було встановлено для посилення можливостей віддаленого доступу.
Зловмисники також використовували протокол віддаленого робочого столу (RDP) для отримання виконуваного файлу з назвою «ms_upd.exe» із зовнішнього сервера за адресою 172.86.126.208 за допомогою утиліти curl. Після запуску шкідливе програмне забезпечення ініціювало багатоетапний ланцюг зараження, призначений для розгортання додаткових шкідливих компонентів та встановлення постійного зв'язку командування та управління.
Арсенал шкідливого програмного забезпечення, що стоїть за кампанією
Ланцюг зараження включав кілька окремих компонентів шкідливого програмного забезпечення, які працювали разом для підтримки стійкості та виконання віддалених команд:
- «ms_upd.exe» (Stagecomp) зібрав системну інформацію та зв’язався із сервером командного управління для завантаження вторинних корисних даних, зокрема «game.exe», «WebView2Loader.dll» та «visualwincomp.txt».
Після активації троян віддаленого доступу безперервно зв'язувався зі своїм командним сервером кожні 60 секунд, дозволяючи операторам виконувати скрипти PowerShell, системні команди, маніпулювати файлами та запускати інтерактивні сеанси командного рядка.
Докази, що пов'язують операцію з MuddyWater
Атрибуцію MuddyWater було підтверджено завдяки виявленню сертифіката підпису коду, пов'язаного з «Дональдом Геєм», який використовувався для підписання зразка шкідливого програмного забезпечення «ms_upd.exe». Той самий сертифікат раніше був пов'язаний зі шкідливим програмним забезпеченням MuddyWater, включаючи варіант завантажувача CastleLoader, відомий як Fakeset.
Дослідники зазначили, що операція продемонструвала значну конвергенцію між шпигунською діяльністю, що спонсорується державою, та оперативними методами кіберзлочинців. Інтеграція брендингу програм-вимагачів, переговорів про вимагання та комерційно доступних систем шкідливого програмного забезпечення ускладнила зусилля з атрибуції та перенаправила увагу захисту на негайні дії щодо викупу, а не на довгострокові механізми збереження, встановлені за допомогою інструментів віддаленого доступу.
Чому цей напад виділявся
Одним із найнезвичайніших аспектів кампанії була очевидна відсутність широкого поширення шифрування файлів, незважаючи на використання артефактів програми-вимагача Chaos. Це відхилення від стандартної поведінки програми-вимагача переконливо свідчить про те, що компонент програми-вимагача функціонував переважно як камуфляж або оперативний маневр, а не як основна мета місії.
Кампанія також підкреслює зростаючу тенденцію серед іранських зловмисників використовувати інструменти кіберзлочинності в державних операціях. Використовуючи існуючі підпільні інфраструктури та екосистеми шкідливих програм, такі групи, як MuddyWater, отримують більшу операційну гнучкість, зменшують внутрішні витрати на розробку та значно ускладнюють зусилля з атрибуції як для захисників, так і для аналітиків розвідки.
