奥拉兰波行动攻击战役
与伊朗政府结盟的网络威胁组织“泥水”(MuddyWater,又名“地球维塔拉”、“芒果沙暴”和“泥海岸”)发起了一项名为“奥拉兰波行动”(Operation Olalampo)的新网络攻击活动。该行动主要针对中东和北非(MENA)地区的组织和个人。
该攻击活动于2026年1月26日首次被发现,它引入了多个新的恶意软件家族,同时重复使用了之前与该组织相关的组件。安全研究人员报告称,此次活动反映了MuddyWater既定行动模式的延续,巩固了其在中东、土耳其和非洲地区(META地区)的持续存在。
目录
感染途径和攻击链
此次攻击活动沿用了与MuddyWater以往行动类似的入侵手法。攻击者通常首先发送包含恶意Microsoft Office附件的鱼叉式网络钓鱼邮件,这些附件中嵌入了宏代码,旨在解码并执行受害者系统上的恶意程序,最终使攻击者获得远程控制权。
已观察到几种攻击变体:
- 恶意 Microsoft Excel 文档诱使受害者启用宏,从而触发基于 Rust 的后门 CHAR 的部署。
- 相关变体提供 GhostFetch 下载器,随后安装 GhostBackDoor 植入程序。
- 第三种感染链使用主题诱饵,例如机票或运营报告,而不是冒充中东能源和海事服务公司,来传播 HTTP_VIP 下载器。这种变种最终会安装 AnyDesk 远程桌面应用程序,从而实现持久访问。
此外,人们还观察到该组织利用互联网服务器上新披露的漏洞,获取对目标环境的初始访问权限。
恶意软件库:定制工具和模块化植入程序
“奥拉兰波行动”依赖于一个结构化的多阶段恶意软件生态系统,该系统旨在进行侦察、持久化和远程控制。此次行动中发现的主要工具包括:
GhostFetch——一款第一阶段下载器,它通过验证鼠标移动和屏幕分辨率、检测调试工具、识别虚拟机痕迹以及检查杀毒软件来分析受感染的系统。它直接在内存中检索并执行二级有效载荷。
GhostBackDoor——由 GhostFetch 提供的第二阶段植入程序。它支持交互式 shell 访问、文件读/写操作,并且可以重新启动 GhostFetch。
HTTP_VIP – 一款原生下载器,可执行系统侦察并连接到外部域名“codefusiontech(dot)org”进行身份验证。它通过命令与控制 (C2) 服务器部署 AnyDesk。新版本增强了功能,包括受害者数据收集、交互式 shell 执行、文件传输、剪贴板捕获以及可配置的信标间隔。
CHAR——一个基于Rust的后门程序,通过名为“Olalampo”(用户名:stager_51_bot)的Telegram机器人控制。它支持目录导航以及执行cmd.exe或PowerShell命令。
与 CHAR 关联的 PowerShell 功能可以执行 SOCKS5 反向代理或名为 Kalim 的附加后门。它还可以窃取浏览器数据,并启动名为“sh.exe”和“gshdoc_release_X64_GUI.exe”的可执行文件。
AI辅助开发和代码重叠
对 CHAR 源代码的技术分析揭示了人工智能辅助开发的迹象。调试字符串中出现表情符号与谷歌此前披露的发现相吻合,谷歌曾报道 MuddyWater 一直在试验生成式人工智能工具来增强恶意软件的开发,尤其是在文件传输和远程执行功能方面。
进一步分析表明,CHAR 与该组织此前针对中东目标部署的基于 Rust 的恶意软件 BlackBeard(又名 Archer RAT 或 RUSTRIC)在结构和环境方面存在相似之处。这些重叠之处表明它们可能共享开发流程,并且工具的改进也经历了迭代过程。
拓展能力和战略意图
MuddyWater 仍然是 META 地区持续存在且不断演变的威胁行为体。其整合人工智能辅助开发、持续改进定制恶意软件、利用公开漏洞以及 C2 基础设施多样化等举措,共同表明其致力于长期扩张业务规模。
“奥拉兰波行动”凸显了该组织对中东和北非地区目标的持续关注,并表明其入侵能力日益复杂。在该地区运营的组织应保持高度警惕,加强宏观限制,监控对外指挥控制(C2)通信,并优先及时修复漏洞,以降低遭受不断演变的威胁的风险。
