Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

MuddyWater хакери користат Chaos ransomware како мамка во напади

Објавено: 07.05.2026

Иранската хакерска група MuddyWater ги маскирала своите операции како Chaos ransomware напад, користејќи social engineering преку Microsoft Teams за да добие пристап и да воспостави трајно присуство во системите.

Иако нападот вклучувал кражба на креденцијали, воспоставување persistence, далечински пристап, кражба на податоци, extortion email пораки и објава на Chaos leak порталот, напаѓачите користеле инфраструктура и техники поврзани со MuddyWater нападите.

Истражувачите од Rapid7 сметаат дека ransomware компонентата најверојатно била користена за да се прикрие вистинската сајбер-шпионска операција и да се отежне идентификацијата на напаѓачите.

„Оваа стратегија ја покажува конвергенцијата помеѓу државно спонзорирани упади и криминални техники, каде што голем показател се токму техниките кои биле користени – и оние што не биле. Ова укажува дека главната цел не била финансиска добивка,“ објаснува Rapid7.

И покрај маскирањето, Rapid7 има умерена сигурност дека инцидентот е поврзан со MuddyWater, група позната и како Static Kitten, Mango Sandstorm и Seedworm.

Заклучокот се базира на преклопување на инфраструктурата, специфичен code-signing сертификат што групата го користела за потпишување на Stagecomp и Darkcomp malware, како и различни оперативни техники.

MuddyWater е иранска државно спонзорирана сајбер-шпионска група позната по долгорочни кампањи за инфилтрација во мрежи, усогласени со Министерството за разузнавање и безбедност на Иран (MOIS).

Chaos е ransomware-as-a-service (RaaS) операција која се појави во 2025 година и е позната по напади врз големи цели, double-extortion тактики и social engineering кампањи насочени претежно кон организации во САД.

Напредување на нападот

Инфилтрацијата што ја анализирал Rapid7 започнала преку social engineering на Microsoft Teams, каде напаѓачите започнувале разговори со вработени, воспоставувале screen-sharing сесии, краделе креденцијали, манипулирале со multi-factor authentication (MFA) поставките и во некои случаи инсталирале AnyDesk за далечински пристап.

Кражбата на креденцијали се случувала преку phishing страници кои се претставувале како Microsoft Quick Assist или преку измама на жртвите да ги внесат своите лозинки во локални текстуални датотеки.

По компромитирањето на сметките, напаѓачите се најавувале на внатрешните системи, вклучувајќи domain controller, и воспоставувале persistence користејќи RDP, DWAgent и AnyDesk.

Потоа користеле malware loader („ms_upd.exe“) за инсталирање на custom backdoor („Game.exe“), маскиран како Microsoft WebView2 апликација.

Малициозниот софтвер содржи anti-analysis и anti-VM проверки и поддржува 12 различни команди, вклучувајќи извршување на PowerShell и CMD команди, upload и бришење на датотеки и постојан shell пристап.

Преглед на нападот

Од Rapid7 забележуваат дека MuddyWater и претходно користел ransomware за прикривање на своите сајбер-шпионски операции. Кон крајот на 2025 година, групата го користела Qilin ransomware во напад врз израелска организација.

Истражувачите претпоставуваат дека групата можеби преминала на друго ransomware „брендирање“ откако нападот од крајот на 2025 година бил поврзан со оперативци на иранското Министерство за разузнавање и безбедност (MOIS).

Извори:

  • Bleeping Computer – MuddyWater hackers use Chaos ransomware as a decoy in attacks Bleeping Computer