„MuddyWater“ од Иран напредува со „MuddyViper“ Backdoor

Новиот Fooder loader и тактики кои работат само во меморија сугерираат дека MuddyWater се развил од своите вообичаени „гласни“ операции кон поамбициозни и скриени шпионски операции.

Кибершпионската група MuddyWater, поврзана со Иран, користела нови алатки и тактики за да распоредува претходно недокументиран прилагоден малвер против цели во Израел и Египет во текот на кампања на почетокот на оваа година.

Операцијата претставува значаен пресврт за MuddyWater кон поскриени и напредни техники, вклучувајќи користење на loader-и кои работат само во меморија, прилагодени бекоори и техники дизајнирани за избегнување на одбрана и одржување на пристап. Во извештај објавен оваа недела, истражувачите од ESET наведоа дека надградбите означуваат значителен развој на можностите на MuddyWater и отстапување од историскиот „гласен“ стил на операции на групата.

Пофини и скриени напаѓачи

MuddyWater, позната и како Mango Sandstorm или TA450, е активна барем од 2017 година и се сомнева дека е поврзана со Министерството за разузнавање и национална безбедност на Техеран. Групата долго време се фокусира на крадење чувствителни информации од владини агенции, воени организации, телекомуникациски провајдери и оператори на критична инфраструктура, главно во Израел, но има жртви и во Северна Америка и другите делови на Блискиот Исток.

MuddyWater обично добивала пристап до целните средини преку phishing-мејлови со злонамерни прилози или линкови до лажни софтверски преземања и малвер. Алатникот на групата вклучувал прилагодени бекоори, како и модифицирани верзии на јавно достапни хакерски алатки. Иако многу активна, групата стекнала репутација за „гласни“ и грешки-подложни операции кои одбранбените тимови често можат да ги детектираат.

Последната кампања на MuddyWater, следена од ESET, траела од крајот на септември 2024 до средината на март 2025, фокусирајќи се главно на организации во Израел, иако ESET потврди најмалку една жртва во Египет.

Според безбедносниот провајдер, MuddyWater користела нов 64-битен loader наречен „Fooder“ за дешифрирање и извршување на својот малвер целосно во меморија, со цел избегнување на традиционални механизми за детекција. Напаѓачите користеле Fooder за распоредување на претходно невидена бекоор наречен „MuddyViper“, кој овозможувал широк контролен пристап до компромитираните системи. Бекоорот им овозможувал на операторите да извршуваат произволни команди, крадат креденцијали, извлекуваат податоци, воспоставуваат обратни конекции и одржуваат постојан пристап.

Истражувачите на ESET пронашле повеќе верзии на Fooder loader, маскирани како видео игра „Snake“ со прилагоден механизам за задоцнување, сличен на логиката на играта, за забавување на извршувањето на малверот и избегнување на автоматизирани sandbox и детекциски алатки базирани на однесување.

Во рамки на операцијата, MuddyWater распоредила и неколку прилагодени алатки за кражба на креденцијали, вклучувајќи CE-Notes, LP-Notes и Blub, за извлекување лозинки од прелистувач, логин податоци и други чувствителни информации. Напаѓачите користеле обратни тунели за да ги пренесат податоците на системи под нивна контрола. Анализата на ESET покажала дека разработувачите на MuddyWater користеле Microsoft Cryptography API Next Generation (CNG) за енкрипција и дешифрација, што сугерира дека групата стекнала понапредни развојни способности.

Работа со други групи поврзани со Иран?

Забележително е дека во текот на кампањата активностите на MuddyWater се преклопувале со активностите на Lyceum, друга група поврзана со Иран и подгрупа на OilRig. Во најмалку еден случај, ESET набљудувал MuddyWater како посредник за почетен пристап за да постави алатки во средината на жртвата, кои подоцна ги користела Lyceum. ESET го толкува тоа како потенцијална соработка меѓу двете групи.

OilRig е иранска кибершпионска група активна барем од 2014 година, позната по таргетирање на владини, енергетски, телекомуникациски и финансиски сектори во Блискиот Исток, Европа и Северна Америка.

Развој во оперативната зрелост на MuddyWater

„Оваа кампања укажува на еволуција во оперативната зрелост на MuddyWater,“ наведува ESET во својот извештај. „Распоредувањето на претходно недокументирани компоненти — како Fooder loader и MuddyViper бекоорот — укажува на обид за зголемување на скриеноста, постојаноста и можностите за кражба на креденцијали,“ додава безбедносниот провајдер.

Извештајот истакнува дека MuddyWater користела техники инспирирани од видео игри за избегнување, обратни тунели и разновиден сет на алатки, што укажува на понапреден пристап, „иако траги на оперативна незрелост на групата сè уште се присутни.“ Овие вклучуваат релативно лесно детектирачки PowerShell и Go-базирани бекоори и чести комуникации меѓу малверот на MuddyWater и неговата командно-контролна (C2) инфраструктура.

MuddyWater е само една од повеќе државно-сублицирани хакерски групи од Иран кои спроведуваат шпионажа, саботажа и операции за влијание усогласени со стратешките интереси на Техеран. Главни ирански напаѓачи вклучуваат:

• APT33 (Elfin) – таргетира авијација и енергетски сектори
• APT34 (OilRig) – фокусирана на финансиски услуги и владини организации
• APT35 (Charming Kitten) – специјализирана за крадење креденцијали на новинари и политичари
• APT39 – позната по напади на телекомуникации, аеронаутика и туристички компании

Истражувачите забележале дека овие групи често споделуваат алатки и инфраструктура.

Извори:

• DarkReading – Iran’s ‘MuddyWater’ Levels Up With MuddyViper Backdoor DarkReading