Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

MuddyWater таргетира MENA организации со GhostFetch, CHAR и HTTP_VIP

Објавено: 23.02.2026

Иранската хакерска група позната како MuddyWater (позната и како Earth Vetala, Mango Sandstorm и MUDDYCOAST) таргетирала повеќе организации и поединци главно во регионот на Блискиот Исток и Северна Африка (MENA) во рамки на нова кампања со кодно име „Operation Olalampo“.

Активноста, првпат забележана на 26 јануари 2026 година, довела до користење на нови фамилии на малвер кои имаат преклопување со претходно идентификувани примероци поврзани со оваа група, според извештај објавен од Group-IB. Тука спаѓаат downloader-и како GhostFetch и HTTP_VIP, Rust backdoor наречен CHAR, како и напреден имплант со кодно име GhostBackDoor кој се испорачува преку GhostFetch.

„Овие напади следат слични обрасци и се усогласени со kill chain моделите претходно забележани кај MuddyWater; започнуваат со phishing е-пошта со прикачен Microsoft Office документ што содржи малициозен macro код кој го декодира вградениот payload, го поставува на системот и го извршува, овозможувајќи му на напаѓачот далечинска контрола врз системот,“ соопшти компанијата.

Еден од синџирите на напад користи малициозен Microsoft Excel документ што ги поттикнува корисниците да овозможат макроа (enable macros) за да се активира инфекцијата и на крај да се инсталира CHAR. Друга варијанта води до преземање на GhostFetch downloader-от, кој потоа го симнува GhostBackDoor.

Трета верзија на нападот користи теми како авионски билети и извештаи (наместо мамки што имитираат компанија за енергетски и морски услуги од Блискиот Исток) за да го дистрибуира HTTP_VIP downloader-от, кој потоа го инсталира софтверот за далечински пристап AnyDesk.

Краток опис на четирите алатки:

GhostFetch – првостепен downloader кој го профилира системот, проверува движења на глувчето и резолуција на екранот, детектира debugger-и, артефакти од виртуелни машини и антивирусен софтвер, и ги презема и извршува секундарните payload-и директно во меморија.

GhostBackDoor – второстепен backdoor што го испорачува GhostFetch, поддржува интерактивен shell, читање/запишување фајлови и повторно активирање на GhostFetch.

HTTP_VIP – нативен downloader што врши извидување на системот, се поврзува со надворешен сервер („codefusiontech[.]org“) за автентикација и распоредување на AnyDesk од C2 серверот. Нова варијанта додава можност за прибирање информации за жртвата и добивање инструкции за стартување интерактивен shell, преземање/качување фајлови, снимање на clipboard содржина и ажурирање на интервалот на sleep/beaconing.

CHAR – Rust backdoor контролиран преку Telegram бот (со име „Olalampo“ и корисничко име „stager_51_bot“), кој овозможува промена на директориум и извршување на cmd.exe или PowerShell команди.

PowerShell командата е дизајнирана да изврши SOCKS5 reverse proxy или друг backdoor наречен Kalim, да прикачи (upload) податоци украдени од веб-прелистувачи и да стартува непознати извршни фајлови означени како „sh.exe“ и „gshdoc_release_X64_GUI.exe“.

Анализата на изворниот код на CHAR од страна на Group-IB открила знаци на развој потпомогнат со вештачка интелигенција (AI), поради присуство на емотикони во debug стринговите. Овој наод е во согласност со откритијата на Google од минатата година дека заканувачкиот актер експериментира со генеративни AI алатки за развој на сопствен малициозен софтвер, особено за поддршка на пренос на фајлови и далечинско извршување команди.

Друг значаен аспект е тоа што CHAR дели слична структура и развојна околина со Rust-базиран малвер BlackBeard (познат и како Archer RAT и RUSTRIC), кој беше идентификуван од CloudSEK и Seqrite Labs како алатка што заканувачкиот актер ја користи за таргетирање различни ентитети на Блискиот Исток.

Дополнително, MuddyWater е забележан како експлоатира неодамна објавени ранливости на јавнодостапни сервери со цел да добие иницијален пристап до целните мрежи.

„APT групата MuddyWater останува активна закана во META регионот, при што оваа операција главно таргетира организации во MENA регионот,“ заклучува Group-IB. „Континуираното усвојување на AI технологија, заедно со постојан развој на сопствен малвер и алатки, како и диверзифицирана command-and-control (C2) инфраструктура, ја нагласува нивната посветеност и намера за проширување на нивните операции.“

Извори:

  • The Hacker News – MuddyWater Targets MENA Organizations with GhostFetch, CHAR, and HTTP_VIP The Hacker News