Operācija Olalampo uzbrukuma kampaņa
Irānas valsts atbalstītā apdraudējumu grupa MuddyWater, kas pazīstama arī kā Earth Vetala, Mango Sandstorm un MUDDYCOAST, ir uzsākusi jaunu kiberkampaņu ar nosaukumu Operācija Olalampo. Operācija galvenokārt ir vērsta pret organizācijām un indivīdiem visā Tuvo Austrumu un Ziemeļāfrikas (MENA) reģionā.
Kampaņa, kas pirmo reizi tika atklāta 2026. gada 26. janvārī, ievieš vairākas jaunas ļaunprogrammatūru saimes, vienlaikus atkārtoti izmantojot komponentus, kas iepriekš bija saistīti ar grupu. Drošības pētnieki ziņo, ka šī aktivitāte atspoguļo MuddyWater izveidoto darbības modeļu turpinājumu, pastiprinot tās pastāvīgo klātbūtni visā META reģionā (Tuvajos Austrumos, Turcijā un Āfrikā).
Satura rādītājs
Infekcijas vektori un uzbrukuma ķēdes
Kampaņa ievēro pazīstamu ielaušanās metodoloģiju, kas atbilst iepriekšējām MuddyWater operācijām. Sākotnējā piekļuve parasti sākas ar mērķtiecīgiem pikšķerēšanas e-pastiem, kas satur ļaunprātīgus Microsoft Office pielikumus. Šajos dokumentos ir iestrādāts makro kods, kas paredzēts, lai atšifrētu un izpildītu vērtumus upura sistēmā, galu galā piešķirot uzbrucējiem attālo kontroli.
Ir novērotas vairākas uzbrukuma variācijas:
- Ļaunprātīgs Microsoft Excel dokuments mudina upurus iespējot makro, izraisot Rust bāzes aizmugurējās durvis CHAR izvietošanu.
- Saistīts variants nodrošina GhostFetch lejupielādētāju, kas pēc tam instalē GhostBackDoor implantu.
- Trešā inficēšanās ķēde HTTP_VIP lejupielādētāja izplatīšanai izmanto tematiskus ēsmas elementus, piemēram, aviobiļetes vai darbības pārskatus, nevis uzdodas par Tuvo Austrumu enerģētikas un jūras pakalpojumu uzņēmumu. Šis variants galu galā instalē AnyDesk attālās darbvirsmas lietojumprogrammu pastāvīgai piekļuvei.
Turklāt ir novērots, ka grupa izmanto jaunatklātas ievainojamības interneta serveros, lai iegūtu sākotnēju piekļuvi mērķa vidēm.
Ļaunprogrammatūras arsenāls: pielāgoti rīki un modulāri implanti
Operācija “Olalampo” balstās uz strukturētu, daudzpakāpju ļaunprogrammatūras ekosistēmu, kas paredzēta izlūkošanai, noturībai un attālinātai vadībai. Šajā kampaņā identificētie galvenie rīki ir:
GhostFetch – pirmās pakāpes lejupielādētājs, kas veido apdraudētu sistēmu profilu, validējot peles kustību un ekrāna izšķirtspēju, nosakot atkļūdošanas rīkus, identificējot virtuālās mašīnas artefaktus un pārbaudot pretvīrusu programmatūru. Tas izgūst un izpilda sekundārās vērtuma slodzes tieši atmiņā.
GhostBackDoor — otrās pakāpes implants, ko nodrošina GhostFetch. Tas nodrošina interaktīvu piekļuvi čaulai, failu lasīšanas/rakstīšanas darbības un var atkārtoti iniciēt GhostFetch.
HTTP_VIP — vietējais lejupielādētājs, kas veic sistēmas izlūkošanu un autentifikācijai izveido savienojumu ar ārējo domēnu "codefusiontech(dot)org". Tas izvieto AnyDesk no komandu un vadības (C2) servera. Jaunāka versija uzlabo funkcionalitāti ar upuru datu vākšanu, interaktīvu čaulas izpildi, failu pārsūtīšanu, starpliktuves uztveršanu un konfigurējamiem signālu intervāliem.
CHAR – uz Rust balstīta aizmugurējā durvju sistēma, ko kontrolē Telegram robots, kas identificēts kā “Olalampo” (lietotājvārds: stager_51_bot). Tā atbalsta direktoriju navigāciju un cmd.exe vai PowerShell komandu izpildi.
Ar CHAR saistītā PowerShell funkcionalitāte ļauj izpildīt SOCKS5 apgriezto starpniekserveri vai papildu aizmugurējo durvju rīku ar nosaukumu Kalim. Tā arī atvieglo pārlūkprogrammas datu eksfiltrāciju un palaiž izpildāmos failus ar apzīmējumiem “sh.exe” un “gshdoc_release_X64_GUI.exe”.
Ar mākslīgo intelektu atbalstīta izstrāde un koda pārklāšanās
CHAR pirmkoda tehniskā analīze atklāja mākslīgā intelekta atbalstītas izstrādes pazīmes. Emociju klātbūtne atkļūdošanas virknēs atbilst iepriekšējiem Google atklātajiem atklājumiem, kas ziņoja, ka MuddyWater ir eksperimentējis ar ģeneratīviem mākslīgā intelekta rīkiem, lai uzlabotu ļaunprogrammatūras izstrādi, jo īpaši failu pārsūtīšanas un attālinātās izpildes iespējām.
Turpmāka analīze atklāj strukturālas un vides līdzības starp CHAR un uz Rust balstīto ļaunprogrammatūru BlackBeard, kas pazīstama arī kā Archer RAT vai RUSTRIC un ko grupa iepriekš izmantoja pret Tuvo Austrumu vienībām. Šīs pārklāšanās liecina par kopīgām izstrādes plūsmām un rīku atkārtotu uzlabošanu.
Spēju un stratēģisko nodomu paplašināšana
MuddyWater joprojām ir pastāvīgs un mainīgs apdraudējuma faktors META reģionā. Mākslīgā intelekta atbalstītas izstrādes integrācija, pielāgotas ļaunprogrammatūras nepārtraukta pilnveidošana, sabiedrībai paredzētu ievainojamību izmantošana un C2 infrastruktūras dažādošana kopumā apliecina ilgtermiņa apņemšanos darbības paplašināšanai.
Operācija “Olalampo” uzsver grupas pastāvīgo uzmanību uz mērķiem Tuvajos Austrumos un Ziemeļāfrikā un izceļ tās ielaušanās spēju pieaugošo sarežģītību. Organizācijām, kas darbojas reģionā, jāuztur pastiprināta modrība, jāievēro makroierobežojumi, jāuzrauga izejošā vadības un kontroles (C2) saziņa un jāpiešķir prioritāte savlaicīgai ievainojamību novēršanai, lai mazinātu pakļautību šai mainīgajai apdraudējumu ainavai.
