Атака в операция „Олалампо“
Иранската държавна групировка MuddyWater, известна още като Earth Vetala, Mango Sandstorm и MUDDYCOAST, стартира нова киберкампания, наречена Операция Olalampo. Операцията е насочена предимно към организации и лица в региона на Близкия изток и Северна Африка (MENA).
Забелязана за първи път на 26 януари 2026 г., кампанията въвежда множество нови семейства зловреден софтуер, като същевременно използва повторно компоненти, свързани преди това с групата. Изследователите по сигурността съобщават, че активността отразява продължение на установените оперативни модели на MuddyWater, засилвайки постоянното ѝ присъствие в региона META (Близкия изток, Турция и Африка).
Съдържание
Вектори на инфекция и вериги на атака
Кампанията следва позната методология за проникване, съответстваща на по-ранни операции на MuddyWater. Първоначалният достъп обикновено започва с фишинг имейли, съдържащи злонамерени прикачени файлове към Microsoft Office. Тези документи вграждат макро код, предназначен за декодиране и изпълнение на полезни товари в системата на жертвата, като в крайна сметка предоставят дистанционен контрол на нападателите.
Наблюдавани са няколко вариации на атаката:
- Злонамерен документ на Microsoft Excel подканва жертвите да активират макроси, задействайки внедряването на Rust-базираната задна вратичка CHAR.
- Свързан вариант предоставя програмата за изтегляне GhostFetch, която впоследствие инсталира импланта GhostBackDoor.
- Трета верига на заразяване използва тематични примамки като самолетни билети или оперативни отчети, вместо да се представя за близкоизточна компания за енергийни и морски услуги, за да разпространява HTTP_VIP изтеглятеля. Този вариант в крайна сметка инсталира приложението за отдалечен работен плот AnyDesk за постоянен достъп.
Освен това е наблюдавано, че групата използва новоразкрити уязвимости в сървъри, свързани с интернет, за да получи първоначален достъп до целеви среди.
Арсенал от зловреден софтуер: Персонализирани инструменти и модулни импланти
Операция „Олалампо“ разчита на структурирана, многоетапна екосистема от зловреден софтуер, предназначена за разузнаване, устойчивост и дистанционен контрол. Основните инструменти, идентифицирани в тази кампания, включват:
GhostFetch – Програма за изтегляне от първи етап, която профилира компрометирани системи, като валидира движението на мишката и резолюцията на екрана, открива инструменти за отстраняване на грешки, идентифицира артефакти на виртуални машини и проверява за антивирусен софтуер. Тя извлича и изпълнява вторични полезни товари директно в паметта.
GhostBackDoor – Имплант от втори етап, предоставен от GhostFetch. Той позволява интерактивен достъп до обвивката, операции за четене/запис на файлове и може да реинициира GhostFetch.
HTTP_VIP – Нативен изтеглятел, който извършва системно разузнаване и се свързва с външния домейн „codefusiontech(dot)org“ за удостоверяване. Той внедрява AnyDesk от командно-контролен (C2) сървър. По-нова версия подобрява функционалността със събиране на данни за жертвите, интерактивно изпълнение на обвивка, прехвърляне на файлове, заснемане на клипборда и конфигурируеми интервали за маяци.
CHAR – Задна вратичка, базирана на Rust, контролирана чрез Telegram бот, идентифициран като „Olalampo“ (потребителско име: stager_51_bot). Тя поддържа навигация в директории и изпълнение на команди cmd.exe или PowerShell.
Функционалността на PowerShell, свързана с CHAR, позволява изпълнението на обратен прокси сървър на SOCKS5 или допълнителна задна врата, наречена Kalim. Тя също така улеснява извличането на данни от браузъра и стартира изпълними файлове с етикети „sh.exe“ и „gshdoc_release_X64_GUI.exe“.
Разработка с изкуствен интелект и припокриване на код
Техническият анализ на изходния код на CHAR разкри индикатори за разработка, подпомогната от изкуствен интелект. Наличието на емоджита в низовете за отстраняване на грешки е в съответствие с предишни открития, разкрити от Google, които съобщиха, че MuddyWater експериментира с генеративни инструменти с изкуствен интелект, за да подобри разработването на зловреден софтуер, особено за прехвърляне на файлове и възможности за дистанционно изпълнение.
По-нататъшен анализ показва структурни и екологични прилики между CHAR и базирания на Rust зловреден софтуер BlackBeard, известен още като Archer RAT или RUSTRIC, използван преди това от групата срещу организации от Близкия изток. Тези припокривания предполагат споделени тръбопроводи за разработка и итеративно усъвършенстване на инструментите.
Разширяване на възможностите и стратегическото намерение
MuddyWater остава постоянен и развиващ се участник в атаките в META региона. Интегрирането на разработка с помощта на изкуствен интелект, непрекъснатото усъвършенстване на зловреден софтуер по поръчка, експлоатацията на уязвимости, насочени към обществеността, и диверсификацията на C2 инфраструктурата заедно демонстрират дългосрочен ангажимент за оперативно разширяване.
Операция „Олалампо“ подчертава постоянния фокус на групата върху цели, базирани в Близкия изток и Северна Африка, и изтъква нарастващата сложност на нейните възможности за проникване. Организациите, действащи в региона, трябва да поддържат повишена бдителност, да прилагат макро ограничения, да наблюдават изходящите комуникации по системата за командване и контрол (C2) и да приоритизират навременното отстраняване на уязвимости, за да смекчат излагането на този променящ се пейзаж от заплахи.
