Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) Útočná kampaň operácie Olalampo

Útočná kampaň operácie Olalampo

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Malvér
Preložiť do:

Iránska štátom naviazaná skupina MuddyWater, známa aj ako Earth Vetala, Mango Sandstorm a MUDDYCOAST, spustila novú kybernetickú kampaň s názvom Operácia Olalampo. Operácia sa primárne zamerala na organizácie a jednotlivcov v regióne Blízkeho východu a severnej Afriky (MENA).

Kampaň, ktorá bola prvýkrát zistená 26. januára 2026, zavádza viacero nových rodín škodlivého softvéru a zároveň opätovne používa komponenty, ktoré boli predtým spojené s touto skupinou. Bezpečnostní výskumníci uvádzajú, že táto aktivita odráža pokračovanie zavedených operačných vzorcov skupiny MuddyWater a posilňuje jej pretrvávajúcu prítomnosť v regióne META (Blízky východ, Turecko a Afrika).

Vektory infekcie a reťazce útokov

Kampaň sa riadi známou metodológiou narušenia bezpečnosti, ktorá je v súlade s predchádzajúcimi operáciami MuddyWater. Počiatočný prístup zvyčajne začína phishingovými e-mailmi obsahujúcimi škodlivé prílohy balíka Microsoft Office. Tieto dokumenty obsahujú makro kód určený na dekódovanie a spustenie údajov v systéme obete, čo v konečnom dôsledku poskytuje útočníkom diaľkovú kontrolu.

Bolo pozorovaných niekoľko variácií útoku:

  • Škodlivý dokument programu Microsoft Excel vyzve obete na povolenie makier, čím sa spustí nasadenie zadných vrátok CHAR založených na platforme Rust.
  • Súvisiaci variant poskytuje sťahovací program GhostFetch, ktorý následne nainštaluje implantát GhostBackDoor.
  • Tretí infekčný reťazec využíva na distribúciu sťahovacieho programu HTTP_VIP tematické návnady, ako sú letenky alebo prevádzkové správy, namiesto toho, aby sa vydával za blízkovýchodnú energetickú a námornú spoločnosť. Tento variant nakoniec nainštaluje aplikáciu vzdialenej plochy AnyDesk pre trvalý prístup.

Okrem toho bolo pozorované, že skupina zneužíva novoodhalené zraniteľnosti v serveroch s pripojením na internet na získanie počiatočného prístupu do cieľových prostredí.

Arsenál škodlivého softvéru: Nástroje na mieru a modulárne implantáty

Operácia Olalampo sa spolieha na štruktúrovaný, viacstupňový ekosystém škodlivého softvéru navrhnutý pre prieskum, perzistenciu a diaľkové ovládanie. Medzi hlavné nástroje identifikované v tejto kampani patria:

GhostFetch – program na sťahovanie prvej fázy, ktorý profiluje napadnuté systémy overovaním pohybu myši a rozlíšenia obrazovky, detekciou ladiacích nástrojov, identifikáciou artefaktov virtuálnych počítačov a kontrolou antivírusového softvéru. Načítava a spúšťa sekundárne dáta priamo v pamäti.

GhostBackDoor – Implantát druhej fázy poskytovaný službou GhostFetch. Umožňuje interaktívny prístup k shellu, operácie čítania/zápisu súborov a dokáže znovu spustiť GhostFetch.

HTTP_VIP – Natívny sťahovací program, ktorý vykonáva prieskum systému a pripája sa k externej doméne „codefusiontech(bodka)org“ na overenie totožnosti. Nasadzuje AnyDesk zo servera velenia a riadenia (C2). Novšia verzia vylepšuje funkčnosť o zhromažďovanie údajov o obetiach, interaktívne vykonávanie shellu, prenos súborov, zachytávanie zo schránky a konfigurovateľné intervaly signalizácie.

CHAR – Backdoor založený na Ruste, ovládaný prostredníctvom Telegram bota identifikovaného ako „Olalampo“ (používateľské meno: stager_51_bot). Podporuje navigáciu v adresároch a vykonávanie príkazov cmd.exe alebo PowerShellu.

Funkcionalita PowerShellu spojená s CHAR umožňuje spustenie reverznej proxy SOCKS5 alebo dodatočného backdooru s názvom Kalim. Taktiež umožňuje exfiltráciu údajov z prehliadača a spúšťa spustiteľné súbory s označením „sh.exe“ a „gshdoc_release_X64_GUI.exe“.

Vývoj s pomocou umelej inteligencie a prekrývanie kódu

Technická analýza zdrojového kódu CHAR odhalila indikátory vývoja s pomocou umelej inteligencie. Prítomnosť emoji v ladiacích reťazcoch je v súlade s predchádzajúcimi zisteniami zverejnenými spoločnosťou Google, ktorá uviedla, že MuddyWater experimentuje s generatívnymi nástrojmi umelej inteligencie na zlepšenie vývoja škodlivého softvéru, najmä pre prenos súborov a možnosti vzdialeného spúšťania.

Ďalšia analýza ukazuje štrukturálne a environmentálne podobnosti medzi CHAR a malvérom BlackBeard založeným na platforme Rust, známym aj ako Archer RAT alebo RUSTRIC, ktorý skupina predtým nasadila proti subjektom na Blízkom východe. Tieto prekrývania naznačujú spoločné vývojové kanály a iteratívne zdokonaľovanie nástrojov.

Rozširovanie schopností a strategického zámeru

MuddyWater zostáva pretrvávajúcim a vyvíjajúcim sa aktérom v oblasti hrozby v regióne META. Integrácia vývoja s pomocou umelej inteligencie, neustále zdokonaľovanie malvéru na mieru, zneužívanie verejne dostupných zraniteľností a diverzifikácia infraštruktúry C2 spoločne demonštrujú dlhodobý záväzok k operačnej expanzii.

Operácia Olalampo podčiarkuje trvalé zameranie skupiny na ciele v regióne Blízkeho východu a severnej Afriky a poukazuje na rastúcu sofistikovanosť jej schopností v oblasti narušenia bezpečnosti. Organizácie pôsobiace v regióne by mali zachovávať zvýšenú ostražitosť, presadzovať makroobmedzenia, monitorovať odchádzajúcu komunikáciu v rámci systému velenia a riadenia (C2) a uprednostňovať včasné odstraňovanie zraniteľností s cieľom zmierniť vystavenie sa tejto vyvíjajúcej sa hrozbe.

Trendy

Podvodný e-mail s kompenzáciami od Federal Equity...

Phishing, Spam
V dnešnom svete hrozieb je nevyhnutné zostať ostražití pri riešení neočakávaných e-mailov. Kyberzločinci sa často vydávajú za renomované inštitúcie, aby získali dôveru a manipulovali príjemcov, aby odhalili citlivé informácie alebo poslali peniaze. Jedným z takýchto príkladov je takzvaný e-mail o kompenzácii od Federal Equity Trust Bank. Tieto správy nie sú spojené so žiadnou legitímnou...

Najviac videné

Načítava...