🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de hackers iraniano conhecido como MuddyWater (também conhecido como Earth Vetala, Mango Sandstorm e MUDDYCOAST) tem como alvo várias organizações e indivíduos localizados principalmente na região do Oriente Médio e Norte da África (MENA) como parte de uma nova campanha chamada Operação Olalampo.
A atividade, observada pela primeira vez em 26 de janeiro de 2026, resultou na implantação de novas famílias de malware que compartilham amostras sobrepostas previamente identificadas como usadas pelo ator da ameaça, de acordo com um relatório publicado pelo Group-IB. Isso inclui downloaders como GhostFetch e HTTP_VIP, junto com um backdoor Rust chamado CHAR e um implante avançado de codinome GhostBackDoor que foi descartado pelo GhostFetch.
“Esses ataques seguem padrões semelhantes e se alinham com os killchains observados anteriormente nos ataques MuddyWater; começando com um e-mail de phishing com um documento do Microsoft Office anexado que contém código macro malicioso que decodifica a carga incorporada e a coloca no sistema e a executa, fornecendo ao adversário o controle remoto do sistema”, disse a empresa.
Uma dessas cadeias de ataque que emprega um documento malicioso do Microsoft Excel solicita que os usuários habilitem macros para ativar a infecção e, por fim, descartar o CHAR. Descobriu-se que outra variante do mesmo ataque leva à implantação do downloader GhostFetch, que então baixa o GhostBackDoor.
Uma terceira versão do ataque aproveita temas como bilhetes de avião e relatórios, em contraste com a utilização de iscas que imitam uma empresa de serviços energéticos e marítimos no Médio Oriente, para distribuir o downloader HTTP_VIP que posteriormente implementa o software de ambiente de trabalho remoto AnyDesk.
Uma breve descrição das quatro ferramentas é a seguinte -
GhostFetch, um downloader de primeiro estágio que cria perfis do sistema, valida movimentos do mouse e verifica a resolução da tela, verifica a presença de depuradores, artefatos de máquinas virtuais e software antivírus, além de buscar e executar cargas secundárias diretamente na memória.
GhostBackDoor, um backdoor de segundo estágio fornecido pelo GhostFetch que oferece suporte a um shell interativo, leitura/gravação de arquivos e nova execução do GhostFetch.
HTTP_VIP, um downloader nativo que realiza reconhecimento do sistema, conecta-se a um servidor externo ("codefusiontech[.]org") para autenticar e implantar AnyDesk do servidor C2. Uma nova variante do malware também adiciona a capacidade de recuperar informações da vítima e obter instruções para iniciar um shell interativo, baixar/carregar arquivos, capturar o conteúdo da área de transferência e atualizar o intervalo de suspensão/sinalização.
CHAR, um backdoor Rust controlado por um bot do Telegram (cujo primeiro nome é “Olalampo” e nome de usuário é “stager_51_bot”) para alterar o diretório e executar um comando cmd.exe ou PowerShell.
O comando do PowerShell foi projetado para executar um proxy reverso SOCKS5 ou outro backdoor chamado Kalim, fazer upload de dados roubados de navegadores da web e executar executáveis desconhecidos chamados “sh.exe” e “gshdoc_release_X64_GUI.exe”.
A análise do código-fonte do CHAR pelo Grupo-IB revelou sinais de desenvolvimento assistido por inteligência artificial (IA) devido à presença de emojis em strings de depuração, uma descoberta consistente com as revelações do Google no ano passado de que o ator da ameaça está experimentando ferramentas generativas de IA para apoiar o desenvolvimento de malware personalizado para suportar transferência de arquivos e execução remota.
Outro aspecto notável é que o CHAR compartilha uma estrutura e ambiente de desenvolvimento semelhantes ao malware baseado em Rust BlackBeard (também conhecido como Archer RAT e RUSTRIC), que foi sinalizado pelo CloudSEK e Seqrite Labs como usado pelo ator da ameaça para atingir várias entidades no Oriente Médio.
MuddyWater também foi observado explorando vulnerabilidades recentemente divulgadas em servidores públicos como forma de obter acesso inicial às redes alvo.
“O grupo MuddyWater APT continua a ser uma ameaça activa na região META [Oriente Médio, Turquia e África], com esta operação visando principalmente organizações na região MENA”, concluiu o Grupo-IB. “A adoção contínua da tecnologia de IA pelo grupo, combinada com o desenvolvimento contínuo de malware e ferramentas personalizadas e infraestruturas diversificadas de comando e controle (C2), ressalta sua dedicação e intenção de expandir suas operações”.
A atividade, observada pela primeira vez em 26 de janeiro de 2026, resultou na implantação de novas famílias de malware que compartilham amostras sobrepostas previamente identificadas como usadas pelo ator da ameaça, de acordo com um relatório publicado pelo Group-IB. Isso inclui downloaders como GhostFetch e HTTP_VIP, junto com um backdoor Rust chamado CHAR e um implante avançado de codinome GhostBackDoor que foi descartado pelo GhostFetch.
“Esses ataques seguem padrões semelhantes e se alinham com os killchains observados anteriormente nos ataques MuddyWater; começando com um e-mail de phishing com um documento do Microsoft Office anexado que contém código macro malicioso que decodifica a carga incorporada e a coloca no sistema e a executa, fornecendo ao adversário o controle remoto do sistema”, disse a empresa.
Uma dessas cadeias de ataque que emprega um documento malicioso do Microsoft Excel solicita que os usuários habilitem macros para ativar a infecção e, por fim, descartar o CHAR. Descobriu-se que outra variante do mesmo ataque leva à implantação do downloader GhostFetch, que então baixa o GhostBackDoor.
Uma terceira versão do ataque aproveita temas como bilhetes de avião e relatórios, em contraste com a utilização de iscas que imitam uma empresa de serviços energéticos e marítimos no Médio Oriente, para distribuir o downloader HTTP_VIP que posteriormente implementa o software de ambiente de trabalho remoto AnyDesk.
Uma breve descrição das quatro ferramentas é a seguinte -
GhostFetch, um downloader de primeiro estágio que cria perfis do sistema, valida movimentos do mouse e verifica a resolução da tela, verifica a presença de depuradores, artefatos de máquinas virtuais e software antivírus, além de buscar e executar cargas secundárias diretamente na memória.
GhostBackDoor, um backdoor de segundo estágio fornecido pelo GhostFetch que oferece suporte a um shell interativo, leitura/gravação de arquivos e nova execução do GhostFetch.
HTTP_VIP, um downloader nativo que realiza reconhecimento do sistema, conecta-se a um servidor externo ("codefusiontech[.]org") para autenticar e implantar AnyDesk do servidor C2. Uma nova variante do malware também adiciona a capacidade de recuperar informações da vítima e obter instruções para iniciar um shell interativo, baixar/carregar arquivos, capturar o conteúdo da área de transferência e atualizar o intervalo de suspensão/sinalização.
CHAR, um backdoor Rust controlado por um bot do Telegram (cujo primeiro nome é “Olalampo” e nome de usuário é “stager_51_bot”) para alterar o diretório e executar um comando cmd.exe ou PowerShell.
O comando do PowerShell foi projetado para executar um proxy reverso SOCKS5 ou outro backdoor chamado Kalim, fazer upload de dados roubados de navegadores da web e executar executáveis desconhecidos chamados “sh.exe” e “gshdoc_release_X64_GUI.exe”.
A análise do código-fonte do CHAR pelo Grupo-IB revelou sinais de desenvolvimento assistido por inteligência artificial (IA) devido à presença de emojis em strings de depuração, uma descoberta consistente com as revelações do Google no ano passado de que o ator da ameaça está experimentando ferramentas generativas de IA para apoiar o desenvolvimento de malware personalizado para suportar transferência de arquivos e execução remota.
Outro aspecto notável é que o CHAR compartilha uma estrutura e ambiente de desenvolvimento semelhantes ao malware baseado em Rust BlackBeard (também conhecido como Archer RAT e RUSTRIC), que foi sinalizado pelo CloudSEK e Seqrite Labs como usado pelo ator da ameaça para atingir várias entidades no Oriente Médio.
MuddyWater também foi observado explorando vulnerabilidades recentemente divulgadas em servidores públicos como forma de obter acesso inicial às redes alvo.
“O grupo MuddyWater APT continua a ser uma ameaça activa na região META [Oriente Médio, Turquia e África], com esta operação visando principalmente organizações na região MENA”, concluiu o Grupo-IB. “A adoção contínua da tecnologia de IA pelo grupo, combinada com o desenvolvimento contínuo de malware e ferramentas personalizadas e infraestruturas diversificadas de comando e controle (C2), ressalta sua dedicação e intenção de expandir suas operações”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #muddywater #tem #como #alvo #organizações #mena #com #ghostfetch, #char #e #http_vip
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário