MuddyViper 後門
近期,以色列多個機構遭到間諜活動的攻擊,涵蓋學術界、工程界、地方政府、製造業、科技界、運輸業和公用事業等領域。這項行動據稱由與伊朗有關的組織發起,並植入了一個名為「泥毒蛇」(MuddyViper)的未知後門程序,標誌著該組織策略的升級。一家總部位於埃及的科技公司也無法倖免。這次間諜活動從2024年9月下旬持續到2025年3月中旬。
目錄
能力不斷增強的熟悉對手
這些攻擊與MuddyWater組織有關,該組織又名Mango Sandstorm、Static Kitten或TA450,據評估,該組織隸屬於伊朗情報與安全部。 MuddyWater至少從2017年起就十分活躍,長期以來從事間諜活動和破壞活動,包括早期的POWERSTATS攻擊以及在「流沙行動」(Operation Quicksand)中使用PowGoop勒索軟體。
根據已公佈的調查結果,該組織繼續襲擊以色列的目標,包括地方政府、航空運輸、旅遊業、醫療服務、電信網路、IT 提供者和中小企業。
他們不斷演進的攻擊策略:從社會工程學到利用VPN漏洞
攻擊者通常利用魚叉式網路釣魚郵件和已知的 VPN 漏洞進行入侵。過去,這些入侵通常涉及部署合法的遠端管理工具——這是 MuddyWater 的標誌性操作。然而,自 2024 年 5 月以來,他們的網路釣魚郵件開始植入一種名為 BugSleep(也稱為 MuddyRot)的隱藏後門,這表明其攻擊手段正轉向使用更客製化的工具。
該組織擁有更廣泛的武器庫,包括 Blackout、AnchorRat、CannonRat、Neshta 和 Sad C2 框架,後者有助於傳播 TreasureBox 和 BlackPearl RAT 等載入器。
網路釣魚仍然是第一步
最新一波攻擊仍始於包含PDF附件的惡意電子郵件。這些PDF檔案會將受害者引導至Atera、Level、PDQ和SimpleHelp等常用遠端工具的下載頁面。一旦站穩腳跟,攻擊者就會部署更專業的元件。
隆重介紹 Fooder 和 MuddyViper
這次攻擊活動的主要目標是一個名為 Fooder 的載入器,它旨在解密並執行基於 C/C++ 的 MuddyViper 後門程式。 Fooder 的變種程式也被發現會分發 go-socks5 隧道工具和開源的 HackBrowserData 工具,用於從多個平台(Safari 除外)收集瀏覽器資料。
MuddyViper本身賦予了攻擊者極強的控制能力,使其能夠收集系統詳細資訊、運行檔案和命令、傳輸數據,以及竊取Windows憑證和瀏覽器資訊。它支援20個內建指令,用於維持隱蔽存取。一些Fooder變種偽裝成經典的貪吃蛇遊戲,並依靠延遲執行來規避檢測,這項技術最早於2025年9月被發現。
行動中發現的其他工具
研究人員還記錄了幾個用於持久化、憑證竊取和資料收集的輔助工具的部署情況:
VAXOne – 偽裝成 Veeam、AnyDesk、Xerox 或 OneDrive 更新程式的後門程式。
CE-Notes – 瀏覽器資料竊取工具,旨在透過竊取本機狀態加密金鑰來繞過 Chrome 的應用程式綁定加密。
Blub – 一款 AC/C++ 竊取程序,可從 Chrome、Edge、Firefox 和 Opera 瀏覽器收集登入資料。
LP-Notes – AC/C++ 憑證竊取工具,顯示虛假的 Windows 安全性提示,誘騙使用者輸入其登入詳細資料。
與萊西姆大學的合作:營運模式出現重疊
調查顯示,MuddyWater 的活動與 Lyceum(又名 Hexane、Spirlin 或 Siamesekitten)的活動存在交集,Lyceum 是 OilRig (APT34) 的一個子組織,自 2018 年以來一直活躍於區域網路間諜活動。
在2025年初發現的幾起事件中,MuddyWater很可能透過部署遠端桌面工具和客製化的Mimikatz載入器,充當了以色列一家製造企業內部的初始存取中介。隨後,Lyceum很可能利用竊取的憑證擴大了存取權限並獲得了營運控制權。
營運成熟度不斷提高的標誌
新組件的引入,特別是 Fooder 加載器和 MuddyViper 後門程序,凸顯了 MuddyWater 在技術和營運方面的顯著進步。該組織顯然正在投資於更隱密的持久化機制、更有效率的憑證竊取以及更深入的偵察能力。
這次攻擊活動凸顯了伊朗支持的駭客組織持續且不斷擴大的威脅。他們將客製化惡意軟體、隱藏式載入程式、合法的遠端管理工具以及跨組織協作相結合,表明該地區的組織必須保持高度警惕,並加強防禦,以應對日益複雜的入侵策略。
