Operasjon Olalampo angrepskampanje

Med Mezo i Advanced Persistent Threat (APT), Skadelig programvare

Oversett til:

Den iranske statsallierte trusselgruppen MuddyWater, også kjent som Earth Vetala, Mango Sandstorm og MUDDYCOAST, har lansert en ny cyberkampanje kalt Operasjon Olalampo. Operasjonen har primært rettet seg mot organisasjoner og enkeltpersoner i Midtøsten og Nord-Afrika (MENA).

Kampanjen, som først ble oppdaget 26. januar 2026, introduserer flere nye skadevarefamilier samtidig som den gjenbruker komponenter som tidligere var knyttet til gruppen. Sikkerhetsforskere rapporterer at aktiviteten gjenspeiler en fortsettelse av MuddyWaters etablerte driftsmønstre, og forsterker selskapets vedvarende tilstedeværelse i META-regionen (Midtøsten, Tyrkia og Afrika).

Innholdsfortegnelse

Infeksjonsvektorer og angrepskjeder

Kampanjen følger en kjent inntrengingsmetodikk som er i samsvar med tidligere MuddyWater-operasjoner. Første tilgang starter vanligvis med spear-phishing-e-poster som inneholder ondsinnede Microsoft Office-vedlegg. Disse dokumentene inneholder makrokode som er utformet for å dekode og kjøre nyttelaster på offerets system, noe som til slutt gir angriperne fjernkontroll.

Flere angrepsvariasjoner har blitt observert:

Et ondsinnet Microsoft Excel-dokument ber ofrene om å aktivere makroer, noe som utløser utrullingen av den Rust-baserte bakdøren CHAR.
En relatert variant leverer GhostFetch-nedlasteren, som deretter installerer GhostBackDoor-implantatet.
En tredje infeksjonskjede bruker tematiske lokkemidler som flybilletter eller driftsrapporter, i stedet for å utgi seg for å være et energi- og maritim tjenesteselskap fra Midtøsten, for å distribuere HTTP_VIP-nedlasteren. Denne varianten installerer til slutt AnyDesk-applikasjonen for eksternt skrivebord for permanent tilgang.

I tillegg har gruppen blitt observert mens de utnytter nylig avslørte sårbarheter i internettvendte servere for å få innledende tilgang til målrettede miljøer.

Arsenal for skadelig programvare: Tilpassede verktøy og modulære implantater

Operasjon Olalampo er avhengig av et strukturert, flertrinns økosystem for skadelig programvare, designet for rekognosering, persistens og fjernkontroll. De viktigste verktøyene som er identifisert i denne kampanjen inkluderer:

GhostFetch – En nedlaster i første trinn som profilerer kompromitterte systemer ved å validere musebevegelser og skjermoppløsning, oppdage feilsøkingsverktøy, identifisere virtuelle maskinartefakter og sjekke for antivirusprogramvare. Den henter og kjører sekundære nyttelaster direkte i minnet.

GhostBackDoor – Et andretrinnsimplantat levert av GhostFetch. Det muliggjør interaktiv skalltilgang, fillesing/skriving og kan starte GhostFetch på nytt.

HTTP_VIP – En innebygd nedlaster som utfører systemrekognosering og kobler seg til det eksterne domenet «codefusiontech(dot)org» for autentisering. Den distribuerer AnyDesk fra en kommando-og-kontroll-server (C2). En nyere versjon forbedrer funksjonaliteten med innsamling av offerdata, interaktiv skallkjøring, filoverføringer, utklippstavleopptak og konfigurerbare beaconing-intervaller.

CHAR – En Rust-basert bakdør kontrollert gjennom en Telegram-bot identifisert som 'Olalampo' (brukernavn: stager_51_bot). Den støtter katalognavigasjon og utførelse av cmd.exe- eller PowerShell-kommandoer.

PowerShell-funksjonaliteten som er knyttet til CHAR, muliggjør kjøring av en SOCKS5 reverse proxy eller en ekstra bakdør kalt Kalim. Den forenkler også utfiltrering av nettleserdata og starter kjørbare filer merket 'sh.exe' og 'gshdoc_release_X64_GUI.exe'.

AI-assistert utvikling og kodeoverlapping

Teknisk analyse av CHARs kildekode avdekket indikatorer på kunstig intelligens-assistert utvikling. Tilstedeværelsen av emojier i feilsøkingsstrenger samsvarer med tidligere funn offentliggjort av Google, som rapporterte at MuddyWater har eksperimentert med generative AI-verktøy for å forbedre utvikling av skadelig programvare, spesielt for filoverføring og fjernkjøringsmuligheter.

Videre analyse viser strukturelle og miljømessige likheter mellom CHAR og den Rust-baserte skadevaren BlackBeard, også kjent som Archer RAT eller RUSTRIC, som tidligere ble distribuert av gruppen mot enheter i Midtøsten. Disse overlappingene tyder på delte utviklingsprosesser og iterativ forbedring av verktøy.

Utvidelse av kapasiteter og strategisk intensjon

MuddyWater er fortsatt en vedvarende og utviklende trusselaktør i META-regionen. Integreringen av AI-assistert utvikling, fortsatt forbedring av skreddersydd skadevare, utnyttelse av sårbarheter rettet mot offentligheten og diversifiseringen av C2-infrastrukturen demonstrerer samlet sett en langsiktig forpliktelse til driftsutvidelse.

Operasjon Olalampo understreker gruppens vedvarende fokus på mål i MENA-regionen og fremhever den økende sofistikeringen av dens inntrengingskapasiteter. Organisasjoner som opererer i regionen bør opprettholde økt årvåkenhet, håndheve makrorestriksjoner, overvåke utgående kommando- og kontrollkommunikasjon (C2) og prioritere rettidig utbedring av sårbarheter for å redusere eksponeringen mot dette utviklende trussellandskapet.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region

Operasjon Olalampo angrepskampanje

Infeksjonsvektorer og angrepskjeder

Arsenal for skadelig programvare: Tilpassede verktøy og modulære implantater

AI-assistert utvikling og kodeoverlapping

Utvidelse av kapasiteter og strategisk intensjon

Legg inn kommentar

Trender

Wshopmall.com

E-postsvindel for kompensasjon fra Federal Equity...

Cosmobotshield.co.in

Mest sett

Skadevare

'Geek Squad' e-postsvindel

Hva er 'msedgewebview2.exe'?