2025’in başından beri, siber güvenlik ekipleri, İran devleti, devam eden gelişmiş kalıcı tehdit (APT) aktörü olan Muddywater’a atfedilen operasyonlarda belirgin bir diriliş gözlemlediler.
Başlangıçta geniş uzaktan uzak izleme ve yönetim (RMM) istismarları yoluyla ortaya çıkan grup, özel kötü amaçlı yazılımlar ve algılamadan kaçınmak için tasarlanmış çok aşamalı yükler kullanan yüksek hedefli kampanyalara döndü.
Düşman, yalnızca hazır araçlara güvenmek yerine, cephaneliğini Bugsleep, StealthcaChe ve Phoenix arka kapı gibi ısmarlama implantları içerecek şekilde genişletti.
Bu bileşenler, gizli dayanaklar oluşturmak, hassas verileri çıkarmak ve ticari hizmetleri ölçmek için maske altyapısı oluşturmak için konserde çalışır.
Saldırı vektörleri, kötü niyetli Microsoft Office belgelerini yerleştiren mızrak aktı e-postalarına odaklanmaya devam ediyor.
.webp)
Mağdurlar, Cloudflare korumalı alanlardan ikincil yükleri düşüren ve yürüten VBA makroları ile bağlanmış tuzak belgeleri alır.
Enfekte edilmiş ana bilgisayarlar daha sonra, AWS ve DigitalOcean’dan Stark Industries’e doğru uzanan ana akım ve kurşun geçirmez sağlayıcılar arasında barındırılan komut ve kontrol (C2) sunucularına ulaşır.
Grup-IB analistleri, Cloudflare’nin ters-proksi hizmetinin, tüm trafiğin paylaşılan Cloudflare ana bilgisayarlarından kaynaklandığı görüldüğü için aktif C2 uç noktalarını izleme zorluğunu önemli ölçüde artırdığını belirtti.
İlk yükleyici
Yürütme üzerine, başlangıç yükleyici (yaygın olarak WTSAPI32.dll olarak adlandırılır), Stealthcache arka kapısını meşru süreçlere dönüştürür ve enjekte eder.
.webp)
StealthCache, HTTPS üzerinden sahte bir TLV protokolü oluşturur, uç noktada şifreli komutlar gönderir ve alır /aq36 ve hataları bildirmek /q2qq32.
Grup-IB analistleri, kurbanın cihazından ve kullanıcı adı dizelerinden dinamik olarak şifre çözme anahtarları elde eden özel XOR rutinlerini belirledi ve eşleşmeyen ana bilgisayarlarda yürütüldüğünde sanal alan analizini engelledi.
En son operasyonel aşamasında, Muddywater’ın çok aşamalı yaklaşımı üçlü bir yük sağladı: bir başlangıç VBA damlası, fooler gibi bir yükleyici ve StealthCache gibi özellik açısından zengin bir arka kapı.
Bir komut kodu aldıktan sonra, StealthCache etkileşimli kabuklardan dosya eklenmesine kadar değişen eylemler yürütür:
// Decrypt function snippet
void decrypt_payload(uint8_t *buffer, size_t size, const char *key) {
for (size_t i = 0; i < size; ++i) {
buffer[i] ^= key[i % strlen(key)];
}
}Daha sonra, Phoenix arka kapı yükleyicinin bellek alanından dağıtılır. Phoenix, C2 ile kaydeder. /registersonra periyodik olarak işaretler gönderir /imalive ve anketler /request Daha fazla talimat için.
Bu modüler tasarım, diske yazmadan kesintisiz komut güncellemeleri ve yük takasları sağlar, kalıcılığı güçlendirir ve adli artefaktları en aza indirir.
Cloudflare'yi gerçek sunucu uç noktalarını maskelemek ve ana bilgisayar tanımlayıcılarına anahtarlanmış dinamik şifre çözme anahtarını entegre ederek, Muddywater, ağ savunucularına zor olan esnek, çok aşamalı bir enfeksiyon zinciri hazırladı.
Bloudflare ile ilişkili alanların sürekli izlenmesi, benzersiz muteks adlarının ve C2 URL modellerinin uyanık analizinin yanı sıra, yeni kampanyaları önlemek ve kritik altyapıyı korumak için gereklidir.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free