Iranska grupa MuddyWater koristi lažnu identifikaciju sa Chaos ransomware-om za tajnu špijunažu
Iranska grupa MuddyWater izvršila je špijunažnu kampanju maskirajući se kao Chaos ransomware, koristeći Microsoft Teams za krađu kredencijala.
Šta se desilo?
Iranska grupa MuddyWater izvršila je sofisticiran napad na zapadne organizacije i institucije u MENA regiji, maskirajući se kao pripadnici Chaos ransomware grupe. Umesto da šifruje podatke za otkup, napadači su se fokusirali na krađu kredencijala, prikupljanje podataka i izgradnju dugoročne prisutnosti u mrežama žrtava sa ciljem špijunaže, a ne finansijskog stekanja.
Kako je napad izvedena?
Kampanja je počela neželjenim zahtevima za ćaskanje putem Microsoft Teams-a. Nakon uspostavljanja kontakta, napadači su inicijalizovali seanse za deljenje ekrana kako bi videli radnu površinu žrtava. Zatim su eksplicitno instruisali zaposlenike da upišu svoje kredencijale u lokalne tekstualne fajlove (credentials.txt i cred.txt) i da doda uređaje kontrolisane od strane napadača u MFA konfiguracije. Nakon kradje kredencijala, napadači su se autentifikovali na interne sisteme i implementirali alate za daljinsko upravljanje kao DWAgent i AnyDesk. Kasnije je isporućena prilagođena preuzmačnica ms_upd.exe koja je preuzimala malicioznu troCKU Game.exe - prilagođenog RAT-a koji se predstavlja kao legitimna Microsoft WebView2 aplikacija.
Koga pogađa?
Napad pogađa organizacije u Sjedinjenim Američkim Državama i MENA regiji. Iako Chaos ransomware grupa tradicionalno nailazi na žrtve u sektoru građevinarstva, proizvodnje i poslovnih usluga, ova kampanja špijunaže može da ugrozi bilo koju organizaciju od strateške važnosti.
Kako se zaštititi?
- Aktivirajte stroga kontrole na Microsoft Teams platformi - zabranite eksterne ćaskanja od nepoznatih korisnika ili zahtevajte odobrenje administratora
- Nikada ne prihvatajte zahteve za deljenje ekrana od nepoznatih osoba, čak i ako se predstavljaju kao IT podrška
- Ne unošite lozinke ili osjetljive podatke tokom sesija deljenja ekrana
- Implementirajte fazu za dodatnu verifikaciju identiteta pri svim zahtevima za pristup ili podršci
- Монitorујте MFA konfiguracije i proverite da li su dodani neočekivani uređaji
- Redovno ažurirajte sve softverske aplikacije, naročito WebView2
- Koristite napredne alate za otkrivanje pretnji (EDR) kako biste pronašli Game.exe, DWAgent i AnyDesk
- Implementirajte sigurnosnu svest obuku sa fokusom na prepoznavanje socijalnog inženjeringa kroz Teams
Tehnički detalji
Ključni tehnički indikatori uključuju Game.exe RAT sa AES-256-GCM enkripcijom, C2 servere na 172.86.126[.]208:443 (moonzonet[.]com) i uploadfiler[.]com na portu 443. Takođe korišćeni su DWAgent i AnyDesk za daljinski pristup. Sertifikat za potpisivanje koda je izdat pod imenom "Donald Gay" sa thumbprint-om B674578D4BDB24CD58BF2DC884EAA658B7AA250C - poznat kao deljeni resurs MuddyWater grupe. C2 domen moonzonet[.]com povezan je sa MuddyWater aktivnostima iz početka 2026. Grupa je koristila karakterističnu tehniku pythonw.exe za injekciju koda u suspendirane procese.
Atribucija
Brza7 istraživači su sa umerenoj sigurnosti pripisali napad iranskoj APT grupi MuddyWater (poznata i kao Mango Sandstorm, Seedworm i Static Kitten), koja je povezana sa iranskim Ministarstvom obavještanja i bezbjednosti (MOIS). Analiza je pokazala da je grupa namerno koristila identitet Chaos RaaS-a kao "false flag" - taktiku skretanja pažnje od prave špijunažne operacije.
Preporuka Sajber Radara
Organizacije moraju hitno pregledati svoje Microsoft Teams okruženje i MFA konfiguracije kako bi otkrile znakove ovog napada. Bezbednosne timove posebno upozoravamo da ne biraju ransom pregovore kao prvoozbiljnu pretpostavku - ova kampanja pokazuje da napadači mogu koristiti ransomware brend kao masku za dugoročnu špijunažu. Implementacija principa nula poverenja i segmentacije mreže kritična je za zaštitu od sličnih napada.
