Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) Olalampo hadművelet támadási kampány

Olalampo hadművelet támadási kampány

Mezo -ra Advanced Persistent Threat (APT), Malware-ben
Fordítás ide:

Az iráni államhoz köthető MuddyWater nevű fenyegetéscsoport, amelyet Earth Vetala, Mango Sandstorm és MUDDYCOAST néven is emlegetnek, új kiberhadjáratot indított, melynek címe: Operation Olalampo. A művelet elsősorban a Közel-Kelet és Észak-Afrika (MENA) régió szervezeteit és magánszemélyeit vette célba.

Az először 2026. január 26-án észlelt kampány több új kártevőcsaládot vezet be, miközben újra felhasználja a csoporttal korábban összefüggésbe hozott összetevőket. Biztonsági kutatók jelentése szerint a tevékenység a MuddyWater bevett működési mintáinak folytatását tükrözi, megerősítve a szervezet tartós jelenlétét a META régióban (Közel-Kelet, Törökország és Afrika).

Fertőzésvektorok és támadási láncok

A kampány a korábbi MuddyWater-műveletekkel összhangban lévő, ismerős behatolási módszertant követ. A kezdeti hozzáférés jellemzően célzott adathalász e-mailekkel kezdődik, amelyek rosszindulatú Microsoft Office-mellékleteket tartalmaznak. Ezek a dokumentumok makrókódot tartalmaznak, amelynek célja a hasznos adatok dekódolása és végrehajtása az áldozat rendszerén, végső soron távoli vezérlést biztosítva a támadóknak.

Több támadási variációt is megfigyeltek:

  • Egy rosszindulatú Microsoft Excel dokumentum arra kéri az áldozatokat, hogy engedélyezzék a makrókat, ami kiváltja a Rust-alapú CHAR hátsó ajtó telepítését.
  • Egy kapcsolódó változat a GhostFetch letöltőt biztosítja, amely ezt követően telepíti a GhostBackDoor implantátumot.
  • Egy harmadik fertőzési lánc tematikus csalikkal, például repülőjegyekkel vagy működési jelentésekkel terjeszti a HTTP_VIP letöltőt, ahelyett, hogy egy közel-keleti energia- és tengeri szolgáltató cégnek adná ki magát. Ez a variáns végső soron az AnyDesk távoli asztali alkalmazást telepíti az állandó hozzáférés érdekében.

Ezenkívül megfigyelték, hogy a csoport az internetre mutató szerverek újonnan feltárt sebezhetőségeit kihasználva kezdeti hozzáférést szerez a célzott környezetekhez.

Kártevő Arzenál: Egyedi szerszámok és moduláris implantátumok

Az Olalampo hadművelet egy strukturált, többlépcsős rosszindulatú szoftverek ökoszisztémájára támaszkodik, amelyet felderítésre, perzisztenciára és távirányításra terveztek. Az ebben a kampányban azonosított fő eszközök a következők:

GhostFetch – Egy első szintű letöltő, amely az egér mozgásának és a képernyőfelbontásnak az ellenőrzésével, hibakereső eszközök észlelésével, virtuális gépek hibáinak azonosításával és víruskereső szoftverek keresésével készít profilt a feltört rendszerekről. A másodlagos hasznos adatokat közvetlenül a memóriában kéri le és hajtja végre.

GhostBackDoor – A GhostFetch által szállított második fokozatú implantátum. Lehetővé teszi az interaktív shell-hozzáférést, a fájlolvasási/-írási műveleteket, és újraindíthatja a GhostFetch-et.

HTTP_VIP – Egy natív letöltő, amely rendszerfelderítést végez, és hitelesítés céljából csatlakozik a külső "codefusiontech(dot)org" domainhez. Az AnyDesk-et egy parancs- és vezérlő (C2) szerverről telepíti. Az újabb verzió kibővíti a funkcionalitást az áldozati adatgyűjtéssel, az interaktív shell-végrehajtással, a fájlátvitellel, a vágólapra rögzítéssel és a konfigurálható jelzőintervallumokkal.

CHAR – Egy Rust-alapú hátsóajtó, amelyet egy „Olalampo” (felhasználónév: stager_51_bot) néven azonosított Telegram bot irányít. Támogatja a könyvtárnavigációt és a cmd.exe vagy PowerShell parancsok végrehajtását.

A CHAR-hoz társított PowerShell-funkció lehetővé teszi egy SOCKS5 fordított proxy vagy egy további, Kalim nevű hátsó ajtó végrehajtását. Emellett elősegíti a böngészőadatok kiszűrését, és elindítja az „sh.exe” és a „gshdoc_release_X64_GUI.exe” feliratú futtatható fájlokat.

MI-vel támogatott fejlesztés és kódátfedés

A CHAR forráskódjának technikai elemzése mesterséges intelligencia által támogatott fejlesztés jeleit tárta fel. Az emojik jelenléte a hibakeresési karakterláncokban összhangban van a Google által korábban közzétett megállapításokkal, amelyek szerint a MuddyWater generatív MI-eszközökkel kísérletezik a rosszindulatú programok fejlesztésének javítása érdekében, különösen a fájlátvitel és a távoli végrehajtási képességek terén.

További elemzések strukturális és környezeti hasonlóságokat mutatnak ki a CHAR és a Rust-alapú BlackBeard rosszindulatú program, más néven Archer RAT vagy RUSTRIC között, amelyet a csoport korábban közel-keleti entitások ellen telepített. Ezek az átfedések közös fejlesztési folyamatokra és az eszközök iteratív finomítására utalnak.

Képességek és stratégiai szándék bővítése

A MuddyWater továbbra is állandó és folyamatosan fejlődő fenyegetési szereplő a META régióban. A mesterséges intelligencia által támogatott fejlesztés integrációja, az egyedi kártevők folyamatos finomítása, a nyilvánosság előtti sebezhetőségek kihasználása, valamint a C2 infrastruktúra diverzifikációja együttesen a működési bővítés iránti hosszú távú elkötelezettséget bizonyítja.

Az Olalampo hadművelet kiemeli a csoport folyamatos összpontosítását a közel-keleti és észak-afrikai célpontokra, és rávilágít behatolási képességeinek egyre kifinomultabb jellegére. A régióban működő szervezeteknek fokozott éberséget kell fenntartaniuk, érvényesíteniük kell a makroszintű korlátozásokat, figyelniük kell a kimenő parancsnoki és irányítási (C2) kommunikációt, és prioritásként kell kezelniük az időben történő sebezhetőség-elhárítást, hogy csökkentsék a kitettséget e változó fenyegetési környezetnek.

Felkapott

Federal Equity Trust Bank kártérítési e-mailes átverés

Adathalászat, Spam
A mai fenyegetési környezetben elengedhetetlen az éberség a váratlan e-mailek kezelésekor. A kiberbűnözők gyakran jó hírű intézményeknek adják ki magukat, hogy bizalmat szerezzenek, és manipulálják a címzetteket, hogy érzékeny információkat fedjenek fel vagy pénzt küldjenek. Az úgynevezett Federal Equity Trust Bank Compensation e-mail egy ilyen példa. Ezek az üzenetek nem kapcsolódnak semmilyen...

Legnézettebb

Betöltés...