奧拉蘭波行動攻擊戰役
與伊朗政府結盟的網路威脅組織「泥水」(MuddyWater,又稱「地球維塔拉」、「芒果沙暴」和「泥海岸」)發起了一項名為「奧拉蘭波行動」(Operation Olalampo)的新網路攻擊活動。該行動主要針對中東和北非(MENA)地區的組織和個人。
該攻擊活動於2026年1月26日首次被發現,它引入了多個新的惡意軟體家族,同時重複使用了先前與該組織相關的元件。安全研究人員報告稱,此次活動反映了MuddyWater既定行動模式的延續,鞏固了其在中東、土耳其和非洲地區(META地區)的持續存在。
目錄
感染途徑和攻擊鏈
這次攻擊活動沿用了與MuddyWater以往行動類似的入侵手法。攻擊者通常首先發送包含惡意Microsoft Office附件的魚叉式網路釣魚郵件,這些附件中嵌入了巨集程式碼,旨在解碼並執行受害者係統上的惡意程序,最終使攻擊者獲得遠端控制權。
已觀察到幾種攻擊變體:
- 惡意 Microsoft Excel 文件誘使受害者啟用巨集,從而觸發基於 Rust 的後門 CHAR 的部署。
- 相關變體提供 GhostFetch 下載器,隨後安裝 GhostBackDoor 植入程式。
- 第三種感染鏈使用主題誘餌,例如機票或營運報告,而不是冒充中東能源和海事服務公司,來傳播 HTTP_VIP 下載器。這種變種最終會安裝 AnyDesk 遠端桌面應用程序,從而實現持久存取。
此外,人們還觀察到該組織利用網路伺服器上新揭露的漏洞,以取得對目標環境的初始存取權限。
惡意軟體庫:客製化工具和模組化植入程序
「奧拉蘭波行動」依賴一個結構化的多階段惡意軟體生態系統,該系統旨在進行偵察、持久化和遠端控制。此次行動中發現的主要工具包括:
GhostFetch——一款第一階段下載器,它透過驗證滑鼠移動和螢幕解析度、檢測調試工具、識別虛擬機器痕跡以及檢查防毒軟體來分析受感染的系統。它直接在記憶體中檢索並執行二級有效載荷。
GhostBackDoor-由 GhostFetch 提供的第二階段植入程式。它支援互動式 shell 存取、文件讀取/寫入操作,並且可以重新啟動 GhostFetch。
HTTP_VIP – 一款原生下載器,可執行系統偵察並連接到外部網域名稱「codefusiontech(dot)org」進行身份驗證。它透過命令與控制 (C2) 伺服器部署 AnyDesk。新版本增強了功能,包括受害者資料收集、互動式 shell 執行、檔案傳輸、剪貼簿擷取以及可設定的信標間隔。
CHAR-一個基於Rust的後門程序,透過名為「Olalampo」(使用者名稱:stager_51_bot)的Telegram機器人控制。它支援目錄導航以及執行cmd.exe或PowerShell命令。
與 CHAR 關聯的 PowerShell 功能可以執行 SOCKS5 反向代理或名為 Kalim 的附加後門。它還可以竊取瀏覽器數據,並啟動名為“sh.exe”和“gshdoc_release_X64_GUI.exe”的可執行檔。
AI輔助開發和程式碼重疊
對 CHAR 原始碼的技術分析揭示了人工智慧輔助開發的跡象。調試字串中出現表情符號與谷歌先前披露的發現相吻合,谷歌曾報道 MuddyWater 一直在試驗生成式人工智慧工具來增強惡意軟體的開發,尤其是在文件傳輸和遠端執行功能方面。
進一步分析表明,CHAR 與該組織先前針對中東目標部署的基於 Rust 的惡意軟體 BlackBeard(又名 Archer RAT 或 RUSTRIC)在結構和環境方面存在相似之處。這些重疊之處表明它們可能共享開發流程,並且工具的改進也經歷了迭代過程。
拓展能力和戰略意圖
MuddyWater 仍然是 META 地區持續且不斷演變的威脅行為體。其整合人工智慧輔助開發、持續改善客製化惡意軟體、利用公開漏洞以及 C2 基礎設施多樣化等舉措,共同表明其致力於長期擴張業務規模。
「奧拉蘭波行動」凸顯了該組織對中東和北非地區目標的持續關注,並表明其入侵能力日益複雜。在該地區運作的組織應保持高度警惕,加強宏觀限制,監控對外指揮控制(C2)通信,並優先及時修復漏洞,以降低遭受不斷演變的威脅的風險。
