浑水公司伪旗勒索软件攻击
伊朗国家支持的黑客组织 MuddyWater(也以 Mango Sandstorm、Seedworm 和 Static Kitten 等别名活动)与一起复杂的勒索软件攻击活动有关,调查人员称这是一次伪旗行动。虽然此次入侵最初看起来像是使用 Chaos 勒索软件的传统勒索软件即服务 (RaaS) 活动,但深入分析后发现,其特征与伪装成经济勒索的、有针对性的国家支持网络攻击相符。
该攻击行动于2026年初被发现,其主要手段是利用微软Teams进行社交工程攻击。攻击者与受害者进行高度互动式的会话,利用屏幕共享功能窃取凭据并操纵多因素身份验证流程。获得访问权限后,攻击者放弃了传统的勒索软件攻击策略(例如大规模文件加密),转而专注于数据窃取、隐蔽持久化以及通过远程管理工具进行长期网络访问。
目录
网络犯罪手法被用于掩盖国家行动
研究人员认为,此次攻击活动反映了MuddyWater蓄意掩盖攻击来源,采用了通常与网络犯罪生态系统相关的工具和技术。该组织已越来越多地将市面上可获得的地下恶意软件和远程访问框架整合到其行动中,其中包括CastleRAT和Tsundere等工具。
这一策略与MuddyWater以往的行动如出一辙,都将间谍活动、破坏性活动与勒索软件攻击相结合。2020年,该组织利用PowGoop加载器攻击以色列多家大型机构,部署了Thanos勒索软件的破坏性变种。2023年,微软将该组织与DEV-1084联系起来,后者是一个与DarkBit身份相关的黑客组织,其攻击伪装成勒索软件攻击。到2025年底,与伊朗有关联的黑客组织也被怀疑使用麒麟勒索软件攻击了一家以色列政府医院。
安全研究人员得出结论,最新攻击活动很可能涉及与伊朗有关联的运营者,他们利用既有的网络犯罪基础设施,并追求更广泛的地缘政治目标。使用麒麟勒索软件以及参与勒索软件关联生态系统,可能为攻击者提供了行动掩护、可信的否认能力,并使其能够获得成熟的攻击能力,同时帮助他们规避以色列加强的防御监控。
混沌勒索即服务:一个不断壮大的勒索生态系统
Chaos 于 2025 年初出现,是一家以勒索软件即服务 (RaaS) 为核心的组织,以其激进的双重勒索策略而闻名。该组织在 RAMP 和 RehubCom 等地下网络犯罪论坛上推广其联盟计划,并迅速扩大了其业务范围。
混乱攻击活动通常结合电子邮件轰炸、语音钓鱼和 Microsoft Teams 冒充攻击,攻击者会伪装成 IT 支持人员。受害者会被诱骗安装 Microsoft Quick Assist 等远程访问应用程序,从而使攻击者能够在企业环境中站稳脚跟,然后逐步提升权限、横向移动并部署勒索软件。
该组织还展现出越来越激进的勒索手段:
- 通过数据窃取和勒索赎金进行双重敲诈
- 涉及分布式拒绝服务 (DDoS) 攻击威胁的三重勒索
- 四重勒索手段,包括威胁联系客户、合作伙伴或竞争对手,以加大对受害者的压力。
截至2026年3月,Chaos泄密平台已造成36家机构遭受攻击,其中大多数机构位于美国。建筑业、制造业和商业服务业似乎是受攻击最严重的行业。
入侵的解剖结构
在本次调查的入侵事件中,攻击者通过与员工发起外部 Microsoft Teams 对话来获取信任并诱导他们进行屏幕共享。随后,攻击者利用被盗用的用户帐户进行侦察、持续攻击、横向移动和数据窃取。
攻击者连接到受害者系统后,执行侦察命令,访问 VPN 相关文件,并指示用户手动将凭据输入到本地创建的文本文件中。在一些案例中,攻击者安装了 AnyDesk 以增强远程访问能力。
此外,攻击者还利用远程桌面协议 (RDP) 通过 curl 工具从外部服务器地址 172.86.126.208 获取名为“ms_upd.exe”的可执行文件。该恶意软件启动后,会发起多阶段感染链,旨在部署其他恶意组件并建立持久的命令与控制通信。
此次活动的幕后恶意软件库
该感染链包含多个不同的恶意软件组件,这些组件协同工作以维持持久性并执行远程命令:
- “ms_upd.exe”(Stagecomp)收集系统信息并联系命令与控制服务器以下载包括“game.exe”、“WebView2Loader.dll”和“visualwincomp.txt”在内的辅助有效载荷。
一旦激活,远程访问木马程序就会每 60 秒与其命令服务器持续通信,允许操作人员执行 PowerShell 脚本、运行系统命令、操作文件和启动交互式命令行会话。
将该行动与浑水公司联系起来的证据
通过发现与“Donald Gay”关联的代码签名证书,进一步证实了该恶意软件与MuddyWater的关联。该证书曾用于对“ms_upd.exe”样本进行签名。此前,该证书也曾与MuddyWater的其他恶意软件相关联,包括名为Fakeset的CastleLoader下载器变种。
研究人员指出,此次行动表明,国家支持的间谍活动与网络犯罪分子的行动手法之间存在显著的融合。勒索软件品牌、勒索谈判以及市面上现有的恶意软件框架的整合,使得溯源工作变得复杂,并将防御重点转移到应对紧急赎金的行动上,而非通过远程访问工具建立的长期持久化机制。
这次袭击为何如此引人注目
此次攻击活动最不寻常的方面之一是,尽管使用了 Chaos 勒索软件的痕迹,但似乎并未进行大规模的文件加密。这种与标准勒索软件行为的偏差强烈表明,勒索软件组件的主要作用是伪装或误导行动,而非主要任务目标。
此次行动也凸显了伊朗网络犯罪分子日益增长的趋势,即把网络犯罪工具融入到国家主导的行动中。通过利用现有的地下基础设施和恶意软件生态系统,像MuddyWater这样的组织能够获得更大的行动灵活性,降低内部开发成本,并显著增加防御者和情报分析人员的溯源难度。
