MuddyViper 后门
近期,以色列多个机构遭到间谍活动的攻击,涵盖学术界、工程界、地方政府、制造业、科技界、交通运输业和公用事业等领域。此次行动据称由与伊朗有关联的组织发起,并植入了一个名为“泥毒蛇”(MuddyViper)的未知后门程序,标志着该组织策略的升级。一家总部位于埃及的科技公司也未能幸免。此次间谍活动从2024年9月下旬持续到2025年3月中旬。
目录
一个能力不断增强的熟悉对手
这些攻击与MuddyWater组织有关,该组织又名Mango Sandstorm、Static Kitten或TA450,据评估,该组织隶属于伊朗情报与安全部。MuddyWater至少从2017年起就十分活跃,长期以来从事间谍活动和破坏活动,包括早期的POWERSTATS攻击以及在“流沙行动”(Operation Quicksand)中使用PowGoop勒索软件。
根据已公布的调查结果,该组织继续袭击以色列的目标,包括地方政府、航空运输、旅游业、医疗服务、电信网络、IT 提供商和中小企业。
他们不断演变的攻击策略:从社会工程学到利用VPN漏洞
攻击者通常利用鱼叉式网络钓鱼邮件和已知的 VPN 漏洞进行入侵。过去,这些入侵通常涉及部署合法的远程管理工具——这是 MuddyWater 的标志性操作。然而,自 2024 年 5 月以来,他们的网络钓鱼邮件开始植入一种名为 BugSleep(也称为 MuddyRot)的隐蔽后门,这表明其攻击手段正转向使用更加定制化的工具。
该组织拥有更广泛的武器库,包括 Blackout、AnchorRat、CannonRat、Neshta 和 Sad C2 框架,后者有助于传播 TreasureBox 和 BlackPearl RAT 等加载器。
网络钓鱼仍然是第一步
最新一波攻击仍然始于包含PDF附件的恶意电子邮件。这些PDF文件会将受害者引导至Atera、Level、PDQ和SimpleHelp等常用远程工具的下载页面。一旦站稳脚跟,攻击者就会部署更专业的组件。
隆重推出 Fooder 和 MuddyViper
此次攻击活动的主要目标是一个名为 Fooder 的加载器,它旨在解密并执行基于 C/C++ 的 MuddyViper 后门程序。Fooder 的变种程序也被发现会分发 go-socks5 隧道工具和开源的 HackBrowserData 工具,用于从多个平台(Safari 除外)收集浏览器数据。
MuddyViper本身赋予了攻击者极强的控制能力,使其能够收集系统详细信息、运行文件和命令、传输数据,以及窃取Windows凭据和浏览器信息。它支持20个内置命令,用于维持隐蔽访问。一些Fooder变种伪装成经典的贪吃蛇游戏,并依靠延迟执行来规避检测,这项技术最早于2025年9月被发现。
行动中发现的其他工具
研究人员还记录了几个用于持久化、凭证窃取和数据收集的辅助工具的部署情况:
VAXOne – 伪装成 Veeam、AnyDesk、Xerox 或 OneDrive 更新程序的后门程序。
CE-Notes – 一款浏览器数据窃取工具,旨在通过窃取本地状态加密密钥来绕过 Chrome 的应用程序绑定加密。
Blub – 一款 AC/C++ 窃取程序,可从 Chrome、Edge、Firefox 和 Opera 浏览器收集登录数据。
LP-Notes – AC/C++ 凭据窃取工具,显示虚假的 Windows 安全提示,诱骗用户输入其登录详细信息。
与莱西姆大学的合作:运营模式出现重叠
调查显示,MuddyWater 的活动与 Lyceum(又名 Hexane、Spirlin 或 Siamesekitten)的活动存在交集,Lyceum 是 OilRig (APT34) 的一个子组织,自 2018 年以来一直活跃于区域网络间谍活动。
在2025年初发现的几起事件中,MuddyWater很可能通过部署远程桌面工具和定制的Mimikatz加载器,充当了以色列一家制造企业内部的初始访问中介。随后,Lyceum很可能利用窃取的凭证扩大了访问权限并获得了运营控制权。
运营成熟度不断提高的标志
新组件的引入,特别是 Fooder 加载器和 MuddyViper 后门程序,凸显了 MuddyWater 在技术和运营方面的显著进步。该组织显然正在投资于更隐蔽的持久化机制、更高效的凭证窃取以及更深入的侦察能力。
此次攻击活动凸显了伊朗支持的黑客组织持续且不断扩大的威胁。他们将定制恶意软件、隐蔽加载程序、合法的远程管理工具以及跨组织协作相结合,表明该地区的组织必须保持高度警惕,并加强防御,以应对日益复杂的入侵策略。
