Nariman Gharib ——
@NarimanGharib
افشای ابزارهای مخرب گروه سایبری MuddyWater وابسته به وزارت اطلاعات جمهوری اسلامی
شرکت امنیتی ESET گزارش جدیدی از فعالیتهای گروه جاسوسی سایبری MuddyWater (همچنین با نامهای Mango Sandstorm و TA450 شناخته میشود) منتشر کرده است. این گروه که وابستگی آن به وزارت اطلاعات و امنیت ملی جمهوری اسلامی تأیید شده، از سال ۲۰۱۷ فعال بوده و عمدتاً سازمانهای دولتی، نظامی، مخابراتی و زیرساختهای حیاتی را هدف قرار میدهد. این کمپین جدید از ۳۰ سپتامبر ۲۰۲۴ تا ۱۸ مارس ۲۰۲۵ ادامه داشته و نشاندهنده تلاش این گروه برای بهبود روشهای فرار از شناسایی است.
هدف اصلی این کمپین سازمانهای اسرائیلی بوده و یک قربانی نیز در مصر شناسایی شده است. در اسرائیل، قربانیان شامل سه شرکت مهندسی، دو نهاد دولت محلی، شرکتهای فناوری، حملونقل، تولیدی، خدمات آب و برق و سه دانشگاه بودند. نکته جالب اینکه یکی از قربانیان در بخش خدمات شهری همزمان توسط گروه Lyceum (زیرمجموعه گروه OilRig) نیز مورد حمله قرار گرفته بود. این همپوشانی نشان میدهد که MuddyWater ممکن است به عنوان «واسطه دسترسی اولیه» برای سایر گروههای سایبری وابسته به جمهوری اسلامی عمل کند.
مهمترین یافته این گزارش، کشف ابزارهای کاملاً جدید و مستند نشده است. اول، Fooder یک لودر که بدافزار را مستقیماً در حافظه بارگذاری میکند بدون اینکه روی دیسک ذخیره شود. جالب اینکه چندین نسخه از Fooder خود را به شکل بازی کلاسیک Snake (مار) جا زده و از منطق این بازی برای ایجاد تاخیر در اجرا و فرار از تحلیل خودکار استفاده میکند. دوم، MuddyViper یک بکدور نوشتهشده به زبان C/C++ که قابلیت جمعآوری اطلاعات سیستم، اجرای دستورات، انتقال فایل و سرقت اعتبارنامههای ویندوز و مرورگرها را دارد. همچنین ابزارهای سرقت اطلاعات CE-Notes، LP-Notes و Blub برای دزدیدن رمزهای عبور از مرورگرهای Chrome، Edge، Firefox و Opera استفاده شدهاند.
این کمپین نشان میدهد که این گروه مخرب تلاش کرده از اشتباهات گذشته خود درس بگیرد. برخلاف عملیاتهای قبلی که اغلب پرسروصدا و بهراحتی قابل شناسایی بودند، این بار سعی کردهاند ردپای کمتری از خود بگذارند. مهاجمان از API رمزنگاری CNG ویندوز استفاده کردهاند که نشاندهنده کپیبرداری از تکنیکهای سایر گروههای مخرب است. همچنین از تکنیکهای بارگذاری انعکاسی (Reflective Loading) برای اجرای بدافزار بدون نوشتن روی دیسک، نمایش پنجرههای جعلی Windows Security برای فریب کاربران و وادار کردن آنها به وارد کردن رمز عبور، و تونلهای معکوس go-socks5 برای دور زدن فایروالها استفاده شده است. نکته مهم دیگر اینکه اپراتورها عمداً از جلسات تعاملی دستی خودداری کردهاند تا ردپای کمتری بگذارند.
این گزارش نشان میدهد که گروههای سایبری تحت حمایت جمهوری اسلامی همچنان تهدیدی جدی محسوب میشوند و در حال تلاش برای پنهانکاری بهتر هستند. همکاری MuddyWater با Lyceum و استفاده از ابزارهای RMM قانونی مانند Atera، PDQ و SimpleHelp برای دسترسی اولیه، الگوی جدیدی از تقسیم کار بین گروههای مختلف را نشان میدهد. ESET تاکید کرده که MuddyWater همچنان یکی از فعالترین بازیگران سایبری مرتبط با جمهوری اسلامی باقی خواهد ماند و انتظار میرود تلاشهای بیشتری برای فرار از شناسایی انجام دهد.
@NarimanGharib
شرکت امنیتی ESET گزارش جدیدی از فعالیتهای گروه جاسوسی سایبری MuddyWater (همچنین با نامهای Mango Sandstorm و TA450 شناخته میشود) منتشر کرده است. این گروه که وابستگی آن به وزارت اطلاعات و امنیت ملی جمهوری اسلامی تأیید شده، از سال ۲۰۱۷ فعال بوده و عمدتاً سازمانهای دولتی، نظامی، مخابراتی و زیرساختهای حیاتی را هدف قرار میدهد. این کمپین جدید از ۳۰ سپتامبر ۲۰۲۴ تا ۱۸ مارس ۲۰۲۵ ادامه داشته و نشاندهنده تلاش این گروه برای بهبود روشهای فرار از شناسایی است.
هدف اصلی این کمپین سازمانهای اسرائیلی بوده و یک قربانی نیز در مصر شناسایی شده است. در اسرائیل، قربانیان شامل سه شرکت مهندسی، دو نهاد دولت محلی، شرکتهای فناوری، حملونقل، تولیدی، خدمات آب و برق و سه دانشگاه بودند. نکته جالب اینکه یکی از قربانیان در بخش خدمات شهری همزمان توسط گروه Lyceum (زیرمجموعه گروه OilRig) نیز مورد حمله قرار گرفته بود. این همپوشانی نشان میدهد که MuddyWater ممکن است به عنوان «واسطه دسترسی اولیه» برای سایر گروههای سایبری وابسته به جمهوری اسلامی عمل کند.
مهمترین یافته این گزارش، کشف ابزارهای کاملاً جدید و مستند نشده است. اول، Fooder یک لودر که بدافزار را مستقیماً در حافظه بارگذاری میکند بدون اینکه روی دیسک ذخیره شود. جالب اینکه چندین نسخه از Fooder خود را به شکل بازی کلاسیک Snake (مار) جا زده و از منطق این بازی برای ایجاد تاخیر در اجرا و فرار از تحلیل خودکار استفاده میکند. دوم، MuddyViper یک بکدور نوشتهشده به زبان C/C++ که قابلیت جمعآوری اطلاعات سیستم، اجرای دستورات، انتقال فایل و سرقت اعتبارنامههای ویندوز و مرورگرها را دارد. همچنین ابزارهای سرقت اطلاعات CE-Notes، LP-Notes و Blub برای دزدیدن رمزهای عبور از مرورگرهای Chrome، Edge، Firefox و Opera استفاده شدهاند.
این کمپین نشان میدهد که این گروه مخرب تلاش کرده از اشتباهات گذشته خود درس بگیرد. برخلاف عملیاتهای قبلی که اغلب پرسروصدا و بهراحتی قابل شناسایی بودند، این بار سعی کردهاند ردپای کمتری از خود بگذارند. مهاجمان از API رمزنگاری CNG ویندوز استفاده کردهاند که نشاندهنده کپیبرداری از تکنیکهای سایر گروههای مخرب است. همچنین از تکنیکهای بارگذاری انعکاسی (Reflective Loading) برای اجرای بدافزار بدون نوشتن روی دیسک، نمایش پنجرههای جعلی Windows Security برای فریب کاربران و وادار کردن آنها به وارد کردن رمز عبور، و تونلهای معکوس go-socks5 برای دور زدن فایروالها استفاده شده است. نکته مهم دیگر اینکه اپراتورها عمداً از جلسات تعاملی دستی خودداری کردهاند تا ردپای کمتری بگذارند.
این گزارش نشان میدهد که گروههای سایبری تحت حمایت جمهوری اسلامی همچنان تهدیدی جدی محسوب میشوند و در حال تلاش برای پنهانکاری بهتر هستند. همکاری MuddyWater با Lyceum و استفاده از ابزارهای RMM قانونی مانند Atera، PDQ و SimpleHelp برای دسترسی اولیه، الگوی جدیدی از تقسیم کار بین گروههای مختلف را نشان میدهد. ESET تاکید کرده که MuddyWater همچنان یکی از فعالترین بازیگران سایبری مرتبط با جمهوری اسلامی باقی خواهد ماند و انتظار میرود تلاشهای بیشتری برای فرار از شناسایی انجام دهد.
@NarimanGharib
Welivesecurity
MuddyWater: Snakes by the riverbank
MuddyWater targets critical infrastructure in Israel and Egypt, relying on custom malware, improved tactics, and a predictable playbook.
👍 77
❤ 22
🔥 7
👀 4
😁 3
60 18.2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram