Як MuddyWater імітує Chaos ransomware для шпигунства й саботажу

Photo of author

CyberSecureFox Editorial Team

MuddyWater, іранське угруповання, пов’язане з державою, почало проводити цільові шпигунські та саботажні операції під «вивіскою» вимагачів Chaos, використовуючи Microsoft Teams для високоінтерактивної соціальної інженерії, крадіжки облікових даних та обходу багатофакторної автентифікації, водночас уникаючи шифрування й фокусуючись на прихованій персистентності та витоку даних; це безпосередньо зачіпає організації у США та на Близькому Сході й вимагає перегляду підходу до інцидентів, які виглядають як «звичайні» атаки вимагачів, але насправді можуть переслідувати стратегічні цілі Ірану.

Технічні деталі кампанії MuddyWater під брендом Chaos

У дослідженому Rapid7 інциденті (початок 2026 року) MuddyWater імітує почерк RaaS‑групи Chaos, але змінює ключову мету: замість шифрування — шпигунська активність і закріплення в інфраструктурі.

Початковий доступ: Microsoft Teams як канал високотактильної соціальної інженерії

  • Атака починається із зовнішніх чатів у Microsoft Teams: зловмисники виходять безпосередньо на співробітників, часто видаючи себе за IT‑підтримку.
  • Використовується інтерактивний screen sharing: оператор буквально «веде за руку» жертву, показуючи, куди натиснути й що ввести.
  • Під час сесії:
    • виконуються базові команди розвідки середовища;
    • відкриваються файли з конфігураціями VPN;
    • користувачів просять ввести логін/пароль у локально створені текстові файли.
  • Через отримані облікові дані атакувальники обходять MFA, маніпулюючи користувачем під час авторизації.

За термінологією MITRE ATT&CK T1566 (Phishing), це не класична фішингова кампанія електронною поштою, а більш небезпечний варіант прямої соціальної інженерії в корпоративному месенджері, де межа між «підтримкою» та зловмисником для співробітника практично стирається.

Закріплення та переміщення: ставка на легітимні засоби віддаленого керування

  • Для персистентності використовуються DWAgent і AnyDesk, а також вбудовані можливості на кшталт RDP.
  • Щонайменше в одному випадку AnyDesk встановлюється прямо під час сесії screen sharing.
  • Через RDP зловмисник запускає curl для завантаження виконуваного файла ms_upd.exe із зовнішнього сервера 172.86.126[.]208.
  • Цей бінарник ініціює багатоступеневий ланцюжок зараження й розгортає RAT:
    • постійне з’єднання з C2;
    • опитування сервера керування кожні 60 секунд;
    • виконання системних команд і скриптів PowerShell;
    • операції з файлами;
    • інтерактивна оболонка cmd.exe або PowerShell на запит оператора.

Така тактика добре вкладається в T1078 (Valid Accounts) та T1105 (Ingress Tool Transfer): зловмисник не ламає систему «в лоб», а переходить до «життя» всередині інфраструктури під виглядом легального користувача та легальних інструментів.

Фальшиві артефакти вимагачів і роль сертифіката

  • В інфраструктурі жертви фіксуються артефакти, пов’язані з Chaos ransomware (бренд, методики вимагання), однак:
    • шифрування файлів не відбувається;
    • акцент робиться на ексфільтрації даних і вибудовуванні довгострокового доступу;
    • переговори про «викуп» ведуться через email.
  • Критична ознака атрибуції — використання сертифіката коду з суб’єктом «Donald Gay» для підпису ms_upd.exe.
  • Той самий сертифікат раніше застосовувався в кластері MuddyWater для підпису завантажувача CastleLoader (Fakeset), який встановлює CastleRAT та інші компоненти.

Саме зв’язок через сертифікат, а не «бренд» вимагачів, є тут надійним технічним мостом між поточною кампанією та історичною активністю MuddyWater.

IOC із описаної кампанії

  • IP‑адреса C2 / завантажувача: 172.86.126[.]208
  • IP‑адреса інфраструктури в операції проти Оману: 172.86.76[.]127
  • Виконуваний файл: ms_upd.exe
  • Сертифікат підпису коду: суб’єкт "Donald Gay"
  • RMM‑інструменти в підозрілому контексті: DWAgent, AnyDesk, Microsoft Quick Assist

Контекст угруповання MuddyWater та використання кримінальної екосистеми

MuddyWater (також відома як Seedworm, Mango Sandstorm, Static Kitten) давно асоціюється з Іраном і задокументована в профілі MITRE як G0069. Поточна кампанія логічно продовжує її еволюцію.

Від деструктивного «псевдо‑ransomware» до глибоко інтегрованого RaaS

  • 2020: атаки на ізраїльські організації із завантажувачем PowGoop, що розгортав модифікацію Thanos із деструктивними можливостями.
  • 2023: співпраця з кластером DEV‑1084 (persona DarkBit) для деструктивних атак під виглядом вимагання.
  • Жовтень 2025: використання вимагача Qilin проти ізраїльської державної лікарні через партнерську «афілійовану» програму.

У кожному з цих кейсів вимагач виступав не як самоціль, а як прикриття для руйнування, тиску та приховування розвідувальних завдань. У новій кампанії MuddyWater під «брендом» Chaos ситуація ще більш показова:

  • застосовуються методи й сервіси, характерні для комерційної моделі RaaS (подвійне, потрійне, подекуди навіть четверне вимагання — додавання DDoS і тиску через контакти з клієнтами/конкурентами);
  • однак замість масової монетизації помітний прицільний інтерес до даних, стійкого доступу та цільових організацій.

Для SOC‑ і IR‑команд головний висновок: наявність відомих «брендів» вимагачів в артефактах більше не гарантує, що перед вами суто кримінальне вимагання. Це може бути державна операція, яка використовує ринок RaaS як маскування та логістику.

Інші іранські операції: Оман і зв’язок із фізичною шкодою

Оман: відкритий каталог із C2‑кодом і 26 000 записів користувачів

Hunt.io виявила на 172.86.76[.]127 відкритий каталог із:

  • інструментарієм атаки та кодом C2;
  • журналами сесій;
  • архівами ексфільтрованих даних.

Ціль — Міністерство юстиції та правових справ Оману (домен mjla.gov[.]om):

  • понад 26 000 користувацьких записів;
  • дані щодо судових справ і рішень комітетів;
  • дампи системних реєстрів SAM і SYSTEM (база для подальшої компрометації облікових записів і рушія домену).

Хактивізм і порт Фуджейра: зв’язок кібер‑ та кінетичних доменів

Паралельно проксі‑структури, дружні до Ірану (наприклад, Handala Hack), заявляють про:

  • публікацію даних майже про 400 військовослужбовців ВМС США в Перській затоці;
  • компрометацію порту Фуджейра в ОАЕ з витоком близько 11 000 документів (накладні, судноплавні та митні записи);
  • використання викраденої інфраструктурної інформації порту для націлення ракетних ударів.

Якщо ці заяви підтвердяться, це стане одним із найбільш очевидних прикладів того, як кібероперації безпосередньо готують ґрунт для фізичного ураження об’єктів інфраструктури. Для операторів портів, логістики й енергетики це означає, що традиційного фокуса на захисті IT‑активів недостатньо без одночасного аналізу того, як ці дані можуть підвищити ефективність кінетичних ударів.

Оцінка впливу та профіль ризику

  • Географія ризику: США (основний масив жертв Chaos за даними на березень 2026 року), Ізраїль, Оман, ОАЕ та загалом Близький Схід.
  • Галузі:
    • будівництво, виробництво, бізнес‑послуги (типові цілі Chaos);
    • охорона здоров’я (ізраїльський госпіталь);
    • урядовий сектор і судова система (Оман);
    • портова та транспортно‑логістична інфраструктура (Фуджейра).
  • Тип наслідків у разі бездіяльності:
    • довгострокова прихована присутність завдяки RMM‑інструментам і валідним обліковим записам;
    • витік чутливих даних (персональні дані, судові рішення, внутрішні схеми інфраструктури);
    • використання даних для політичного тиску, дестабілізації або підготовки фізичної шкоди.

Найбільший ризик несуть організації, де RMM‑інструменти широко використовуються й слабо контролюються, а зовнішні комунікації в Teams дозволені за замовчуванням.

Практичні рекомендації щодо захисту та реагування

1. Жорсткий контроль Microsoft Teams і каналів підтримки

  • Вимкніть або обмежте зовнішні чати в Teams до перевірених доменів‑партнерів.
  • Налаштуйте сповіщення у разі:
    • ініціювання screen sharing із зовнішніми користувачами;
    • масових запитів до облікових записів або зміни налаштувань MFA через такі сесії.
  • Формалізуйте єдиний канал IT‑підтримки: співробітник має розуміти, що будь‑яка «підтримка» поза цим каналом — підозріла.
  • Додайте до навчання конкретний сценарій: «людина в Teams просить ввести пароль у текстовий файл / поділитися екраном на етапі введення пароля» — привід негайно припиняти сесію та повідомляти службу безпеки.

2. Управління RMM‑інструментами (DWAgent, AnyDesk, Quick Assist та ін.)

  • Ведіть реєстр усіх дозволених засобів віддаленого адміністрування.
  • Реалізуйте контроль запуску застосунків (allow‑list): будь‑яке нове RMM‑ПЗ поза списком — привід для розслідування.
  • Моніторте:
    • встановлення й запуск AnyDesk і DWAgent на серверах і критичних робочих станціях;
    • вихідні сесії цього ПЗ за межі корпоративних діапазонів.
  • Забороніть використання RDP із зовнішніх адрес без VPN і суворої автентифікації.

3. Посилення автентифікації та протидія соціальній інженерії навколо MFA

  • Запровадьте механізми на кшталт number‑matching і контекстних підказок у MFA, щоб було складніше «продавити» користувача через Teams.
  • Обмежте кількість MFA‑запитів і блокуйте обліковий запис при множинних відхиленнях (захист від «втоми від MFA»).
  • Мінімізуйте наявність локальних адміністраторів; особливо на робочих станціях користувачів, які часто взаємодіють іззовні (підтримка, продажі, оператори портів тощо).

4. Пошук слідів компрометації та мисливство за TTP

  • Перевірте журнали:
    • підключень до 172.86.126[.]208 і 172.86.76[.]127 (напряму або через curl);
    • створення або запуску файлів ms_upd.exe на серверах і робочих станціях;
    • встановлення/запуску AnyDesk і DWAgent у нетипових сегментах;
    • підозрілих сесій Microsoft Teams від зовнішніх користувачів із подальшою активністю від тих самих облікових записів у VPN/AD.
  • Проаналізуйте всі нещодавно додані довірені сертифікати коду; зверніть особливу увагу на суб’єкти, що не відповідають вашим політикам (наприклад, «Donald Gay»).
  • Побудуйте правила детектування для сценаріїв T1041 (Exfiltration Over C2 Channel), враховуючи тривалі малопомітні сесії RAT із періодичним опитуванням C2.

5. Для держсектору та критичної інфраструктури регіону

  • Розділіть мережі IT та операційної технології (OT), обмеживши маршрутизацію між сегментами портів, енергетики та бізнес‑систем.
  • Перегляньте доступ постачальників і підрядників до систем керування інфраструктурою (включно з RMM і VPN). Будь‑який зовнішній доступ має бути:
    • ідентифікований за конкретною людиною;
    • обмежений у часі;
    • протоколюваний і записуваний (session recording).
  • Увімкніть у плани реагування сценарій, за якого «інцидент із вимагачем» може бути прикриттям для підготовки фізичного удару (за аналогією з кейсом порту Фуджейра).

Ключовий висновок для організацій, що працюють із чутливими даними та інфраструктурою, полягає в тому, що будь‑який інцидент з елементами вимагання тепер слід розглядати як потенційну державну операцію; першочерговим практичним кроком має стати оновлення процедур реагування: окрім блокування вимагача, включати системний пошук прихованої персистентності через RMM‑засоби, аналіз витоку даних і перевірку аномальної активності в Teams та інших каналах віддаленої взаємодії.

Photo of author

CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

CyberSecureFox

© 2026 INFO

Про сайт

Про нас

Автори

Контакти

Редакція

Редакційні стандарти

Виправлення

Правова інформація

Політика конфіденційності

Умови використання