Die iranische Hackergruppe MuddyWater führt unter dem Namen Operation Olalampo eine Angriffskampagne durch, bei der mehrere bislang unbekannte Malware-Varianten gegen Organisationen im Nahost und Afrika eingesetzt werden.
Während sich geopolitische Spannungen zwischen den USA und dem Iran zuspitzen, verstärkt die iranische Staatsgruppe MuddyWater ihre Cyberangriffsaktivitäten deutlich. Eine neu entdeckte Kampagne namens Operation Olalampo richtet sich gezielt gegen Organisationen und Einzelpersonen im Nahost- und Afrikaraum und setzt dabei mehrere bislang unbekannte Malware-Varianten ein.
Laut einem Bericht von Group-IB folgt die Angriffskampagne einem bewährten Muster: Sie beginnt mit Spear-Phishing-E-Mails und endet mit der Installation mehrerer neuer zweistufiger Loader und Backdoor-Programme. Die Sicherheitsforscher identifizierten die Kampagne erstmals am 26. Januar. MuddyWater, das Verbindungen zum iranischen Geheimdienst (MOIS) aufweist, setzte dabei nicht nur auf konventionelle Phishing-Methoden, sondern versuchte auch, Schwachstellen in öffentlich erreichbaren Servern auszunutzen.
Eine der neuen Malware-Varianten trägt den Namen Char und nutzt einen Telegram-Bot als Kommando- und Kontrollkanal. Diese Entdeckung bot den Forschern wichtige Einblicke in die Post-Exploitations-Aktivitäten der Gruppe. Die Wiederverwendung von Infrastruktur-Elementen ist ein typisches Erkennungsmerkmal von MuddyWater und half den Experten, den Angreifer zu identifizieren.
Besonders auffällig ist, dass die Malware-Varianten Zeichen einer künstlichen Intelligenz-gestützten Entwicklung aufweisen. Group-IB vermutet, dass KI-Unterstützung bei der Malware-Entwicklung künftig zum Standard werden könnte. Der Char-Backdoor beispielsweise enthält Debug-Strings mit Emojis — ein ungewöhnliches Merkmal, das selten in von Menschen geschriebenem Code auftaucht. Dies deutet darauf hin, dass Entwickler möglicherweise ein KI-Modell zur Codegenerierung nutzten und die Debug-Informationen vor der Kompilierung nicht bereinigten.
Die Angriffskampagne folgte drei verschiedenen Varianten: Die erste nutzte ein manipuliertes Excel-Dokument, das sich als Geschäftspapier eines Energie- und Schiffahrtsunternehmens ausgab und letztlich zum Char-Backdoor führte. Dies markiert einen taktischen Wechsel für MuddyWater, da die Gruppe erstmals Telegram auf diese Weise zur Kontrolle von Malware einsetzt.
Eine zweite Variante verwendete ein ähnliches Dokument-Locking-Verfahren, deponierte aber stattdessen den GhostFetch-Downloader, der anschließend das fortschrittliche GhostBackDoor-Programm herunterlud. Dieses Backdoor passt seine Installation an die Berechtigungen der betroffenen Umgebung an.
Die dritte Variante setzt auf ein manipuliertes Word-Dokument mit verschiedenen Themen wie Flugtickets und Berichte, zielgerichtet gegen Einzelpersonen und Systemintegrator-Unternehmen im Nahmittleren Osten. Diese Variante führt zur Installation des HTTP_VIP-Downloaders, der dann das Remote-Management-Tool AnyDesk lädt und damit die Kontrolle über das System übernimmt.
MuddyWater, auch unter den Namen TA450, Helix Kitten und Seedworm bekannt, ist eine der aktivsten und gefährlichsten iranischen APT-Gruppen mit Wurzeln bis 2017. Die Gruppe entwickelt sich kontinuierlich weiter und wird zunehmend raffinierter. Im vergangenen Jahr zeigte sich bereits eine Steigerung der Operationsweise mit speicherbasierten Loadern, maßgeschneiderten Backdoors und Ausweichtechniken gegen Sicherheitstools.
Experten warnen, dass MuddyWaters Adoption von KI-Technologie, kombiniert mit kontinuierlicher Malware-Entwicklung und diversifizierter Kontrollinfrastruktur, die Entschlossenheit der Gruppe zeigt, ihre Operationen auszuweiten. Verteidigern empfehlen Sicherheitsexperten, die Indikatoren aus dem Group-IB-Bericht zu nutzen, E-Mail- und Phishing-Schutzmaßnahmen zu verstärken, Endpoint-Controls zu implementieren und langfristige strategische Maßnahmen zu etablieren.
Quelle: Dark Reading