渾水公司偽旗勒索軟體攻擊
伊朗國家支持的駭客組織 MuddyWater(也以 Mango Sandstorm、Seedworm 和 Static Kitten 等別名活動)與一起複雜的勒索軟體攻擊活動有關,調查人員稱這是一次偽旗行動。雖然入侵最初看起來像是使用 Chaos 勒索軟體的傳統勒索軟體即服務 (RaaS) 活動,但深入分析後發現,其特徵與偽裝成經濟勒索的、有針對性的國家支持網路攻擊相符。
該攻擊行動於2026年初被發現,其主要手段是利用微軟Teams進行社交工程攻擊。攻擊者與受害者進行高度互動式的會話,利用螢幕共享功能竊取憑證並操縱多因素身份驗證流程。在獲得存取權限後,攻擊者放棄了傳統的勒索軟體攻擊策略(例如大規模檔案加密),轉而專注於資料竊取、隱藏持久化以及透過遠端管理工具進行長期網路存取。
目錄
網路犯罪手法被用來掩蓋國家行動
研究人員認為,這次攻擊活動反映了MuddyWater蓄意掩蓋攻擊來源,採用了通常與網路犯罪生態系統相關的工具和技術。該組織已越來越多地將市面上可獲得的地下惡意軟體和遠端存取框架整合到其行動中,其中包括CastleRAT和Tsundere等工具。
這項策略與MuddyWater以往的行動如出一轍,都將間諜活動、破壞性活動與勒索軟體攻擊結合。 2020年,該組織利用PowGoop載入器攻擊以色列多家大型機構,部署了Thanos勒索軟體的破壞性變種。 2023年,微軟將該組織與DEV-1084聯繫起來,後者是一個與DarkBit身分相關的駭客組織,其攻擊偽裝成勒索軟體攻擊。到2025年底,與伊朗有關聯的駭客組織也被懷疑使用麒麟勒索軟體攻擊了以色列政府醫院。
安全研究人員得出結論,最新攻擊活動很可能涉及與伊朗有關的運營者,他們利用現有的網路犯罪基礎設施,並追求更廣泛的地緣政治目標。使用麒麟勒索軟體以及參與勒索軟體關聯生態系統,可能為攻擊者提供了行動掩護、可信的否認能力,並使其能夠獲得成熟的攻擊能力,同時幫助他們規避以色列加強的防禦監控。
混沌勒索即服務:一個不斷壯大的勒索生態系統
Chaos 於 2025 年初出現,是一家以勒索軟體即服務 (RaaS) 為核心的組織,以其激進的雙重勒索策略而聞名。該組織在 RAMP 和 RehubCom 等地下網路犯罪論壇上推廣其聯盟計劃,並迅速擴大了其業務範圍。
混亂攻擊活動通常結合電子郵件轟炸、語音釣魚和 Microsoft Teams 冒充攻擊,攻擊者會偽裝成 IT 支援人員。受害者會被誘騙安裝 Microsoft Quick Assist 等遠端存取應用程序,從而使攻擊者能夠在企業環境中站穩腳跟,然後逐步提升權限、橫向移動並部署勒索軟體。
該組織也展現出越來越激進的勒索手段:
- 透過資料竊取和勒索贖金進行雙重敲詐
- 涉及分散式阻斷服務 (DDoS) 攻擊威脅的三重勒索
- 四重勒索手段,包括威脅聯繫客戶、合作夥伴或競爭對手,以增加對受害者的壓力。
截至2026年3月,Chaos洩密平台已造成36家機構遭受攻擊,其中大多數機構位於美國。建築業、製造業和商業服務業似乎是受攻擊最嚴重的產業。
入侵的解剖結構
在本次調查的入侵事件中,攻擊者透過與員工發動外部 Microsoft Teams 對話來獲取信任並誘導他們進行螢幕分享。隨後,攻擊者利用被盜用的使用者帳戶進行偵察、持續攻擊、橫向移動和資料竊取。
攻擊者連接到受害者係統後,執行偵察命令,存取 VPN 相關文件,並指示使用者手動將憑證輸入到本機建立的文字檔案中。在一些案例中,攻擊者安裝了 AnyDesk 以增強遠端存取能力。
此外,攻擊者還利用遠端桌面協定 (RDP) 透過 curl 工具從外部伺服器位址 172.86.126.208 取得名為「ms_upd.exe」的可執行檔。此惡意軟體啟動後,會發起多階段感染鏈,旨在部署其他惡意元件並建立持久的命令與控制通訊。
此次活動的幕後惡意軟體庫
此感染鏈包含多個不同的惡意軟體元件,這些元件協同工作以維持持久性並執行遠端命令:
- 「ms_upd.exe」(Stagecomp)收集系統資訊並聯絡命令與控制伺服器以下載包含「game.exe」、「WebView2Loader.dll」和「visualwincomp.txt」在內的輔助有效載荷。
一旦激活,遠端存取木馬程式就會每 60 秒與其命令伺服器持續通信,允許操作人員執行 PowerShell 腳本、執行系統命令、操作檔案和啟動互動式命令列會話。
將該行動與渾水公司聯繫起來的證據
透過發現與「Donald Gay」關聯的程式碼簽署證書,進一步證實了該惡意軟體與MuddyWater的關聯。該憑證曾用於對「ms_upd.exe」樣本進行簽署。先前,該憑證也曾與MuddyWater的其他惡意軟體相關聯,包括名為Fakeset的CastleLoader下載器變種。
研究人員指出,此次行動表明,國家支持的間諜活動與網路犯罪分子的行動手法之間存在顯著的融合。勒索軟體品牌、勒索談判以及市面上現有的惡意軟體框架的整合,使得溯源工作變得複雜,並將防禦重點轉移到應對緊急贖金的行動上,而非透過遠端存取工具建立的長期持久化機制。
這次襲擊為何如此引人注目
這次攻擊活動最不尋常的方面之一是,儘管使用了 Chaos 勒索軟體的痕跡,但似乎並未進行大規模的文件加密。這種與標準勒索軟體行為的偏差強烈表明,勒索軟體元件的主要作用是偽裝或誤導行動,而非主要任務目標。
這次行動也凸顯了伊朗網路犯罪分子日益增長的趨勢,即將網路犯罪工具融入國家主導的行動中。透過利用現有的地下基礎設施和惡意軟體生態系統,像MuddyWater這樣的組織能夠獲得更大的行動靈活性,降低內部開發成本,並顯著增加防禦者和情報分析人員的溯源難度。
