Операція «Олалампо»: атака на кампанію
Іранська пов'язана з державою група кіберзлочинців MuddyWater, яку також відстежують як Earth Vetala, Mango Sandstorm та MUDDYCOAST, розпочала нову кіберкампанію під назвою Operation Olalampo. Операція спрямована переважно на організації та окремих осіб у регіоні Близького Сходу та Північної Африки (MENA).
Вперше виявлена 26 січня 2026 року, кампанія впроваджує кілька нових сімейств шкідливих програм, повторно використовуючи компоненти, раніше пов'язані з цією групою. Дослідники безпеки повідомляють, що ця активність відображає продовження усталених операційних моделей MuddyWater, посилюючи її постійну присутність у регіоні META (Близький Схід, Туреччина та Африка).
Зміст
Вектори інфекції та ланцюги атак
Кампанія дотримується звичної методології вторгнення, що відповідає попереднім операціям MuddyWater. Початковий доступ зазвичай починається з фішингових електронних листів, що містять шкідливі вкладення Microsoft Office. Ці документи містять макрокод, призначений для декодування та виконання корисних навантажень у системі жертви, що зрештою надає зловмисникам віддалений контроль.
Спостерігалося кілька варіацій атаки:
- Шкідливий документ Microsoft Excel пропонує жертвам увімкнути макроси, що запускає розгортання бекдору CHAR на основі Rust.
- Споріднений варіант надає завантажувач GhostFetch, який згодом встановлює імплантат GhostBackDoor.
- Третій ланцюг зараження використовує тематичні приманки, такі як авіаквитки або операційні звіти, замість того, щоб видавати себе за близькосхідну енергетичну та морську компанію, для розповсюдження завантажувача HTTP_VIP. Цей варіант зрештою встановлює програму віддаленого робочого столу AnyDesk для постійного доступу.
Крім того, було помічено, що група використовує нещодавно виявлені вразливості на серверах, що підключені до Інтернету, для отримання початкового доступу до цільових середовищ.
Арсенал шкідливого програмного забезпечення: спеціалізовані інструменти та модульні імпланти
Операція «Олалампо» спирається на структуровану багатоетапну екосистему шкідливого програмного забезпечення, розроблену для розвідки, забезпечення стійкості та дистанційного керування. Основні інструменти, визначені в цій кампанії, включають:
GhostFetch – завантажувач першого рівня, який створює профілі скомпрометованих систем, перевіряючи рух миші та роздільну здатність екрана, виявляючи інструменти налагодження, ідентифікуючи артефакти віртуальних машин та перевіряючи наявність антивірусного програмного забезпечення. Він отримує та виконує вторинні корисні навантаження безпосередньо в пам'яті.
GhostBackDoor – імплант другого етапу, що надається GhostFetch. Він забезпечує інтерактивний доступ до оболонки, операції читання/запису файлів і може повторно ініціювати GhostFetch.
HTTP_VIP – власний завантажувач, який виконує розвідку системи та підключається до зовнішнього домену "codefusiontech(dot)org" для автентифікації. Він розгортає AnyDesk із сервера командного управління (C2). Новіша версія розширює функціональність завдяки збору даних жертв, інтерактивному виконанню оболонки, передачі файлів, захопленню буфера обміну та налаштованим інтервалам маячків.
CHAR – бекдор на базі Rust, керований через бота Telegram, ідентифікованого як «Olalampo» (ім'я користувача: stager_51_bot). Він підтримує навігацію по каталогах та виконання команд cmd.exe або PowerShell.
Функціональність PowerShell, пов'язана з CHAR, дозволяє виконувати зворотний проксі-сервер SOCKS5 або додатковий бекдор під назвою Kalim. Вона також сприяє вилученню даних браузера та запускає виконувані файли з позначками «sh.exe» та «gshdoc_release_X64_GUI.exe».
Розробка за допомогою штучного інтелекту та перекриття коду
Технічний аналіз вихідного коду CHAR виявив ознаки розробки за допомогою штучного інтелекту. Наявність емодзі в рядках налагодження узгоджується з попередніми висновками Google, який повідомляв, що MuddyWater експериментує з генеративними інструментами штучного інтелекту для покращення розробки шкідливого програмного забезпечення, зокрема для передачі файлів та можливостей віддаленого виконання.
Подальший аналіз показує структурну та екологічну схожість між CHAR та шкідливим програмним забезпеченням на основі Rust BlackBeard, також відомим як Archer RAT або RUSTRIC, яке раніше використовувалося групою проти близькосхідних організацій. Ці збіги свідчать про спільні конвеєри розробки та ітеративне вдосконалення інструментарію.
Розширення можливостей та стратегічних намірів
MuddyWater залишається постійним та мінливим гравцем загроз у регіоні META. Інтеграція розробки за допомогою штучного інтелекту, постійне вдосконалення спеціалізованого шкідливого програмного забезпечення, використання загальнодоступних вразливостей та диверсифікація інфраструктури командування та управління (C2) разом демонструють довгострокове прагнення до розширення операційної діяльності.
Операція «Олалампо» підкреслює постійну зосередженість групи на цілях, що базуються в регіоні Близького Сходу та Північної Африки, та зростаючу складність її можливостей вторгнення. Організації, що працюють у регіоні, повинні підтримувати підвищену пильність, забезпечувати макрообмеження, контролювати вихідні комунікації систем командування та управління (C2) та надавати пріоритет своєчасному усуненню вразливостей, щоб зменшити вплив цього постійно мінливого ландшафту загроз.
