Кампанія MuddyWater 2026: DLL sideloading і крадіжка даних браузерів

Іранське угруповання MuddyWater (також відоме як Seedworm) у першому кварталі 2026 року провело масштабну шпигунську кампанію, яка, за даними дослідників Symantec і Carbon Black, зачепила щонайменше дев’ять організацій у дев’яти країнах на чотирьох континентах. Серед цілей — промислове та електронне виробництво, освітні й державні установи, фінансові та професійні сервіси. Ключова особливість кампанії — використання підписаних легітимних бінарних файлів для підвантаження шкідливих бібліотек (DLL sideloading) і відкритого інструмента ChromElevator для обходу захисту браузерів на базі Chromium. Організаціям, що працюють у зазначених секторах, слід негайно перевірити наявність описаних індикаторів компрометації у своїх мережах.

Жертви та географія атак

Як повідомляється в звіті команд кібербезпеки Broadcom, серед підтверджених жертв — великий південнокорейський виробник електроніки, у мережі якого зловмисники, ймовірно, перебували близько тижня в лютому 2026 року. Також були уражені міжнародний аеропорт на Близькому Сході, промислові підприємства в Південно-Східній Азії та постачальник фінансових послуг у Латинській Америці. Початковий вектор проникнення до південнокорейської компанії залишається невідомим.

Технічний ланцюжок атаки

DLL sideloading через підписані бінарні файли

Атакувальники активно використовували техніку DLL sideloading із двома парами легітимних виконуваних файлів і шкідливих бібліотек:

• fmapp.exe (підписаний бінарний файл Fortemedia) — завантажує шкідливу бібліотеку fmapp.dll. За даними Huntress, ця бібліотека містить код для підключення до контрольованої атакувальниками IP-адреси 157.20.182[.]49. Використання цієї пари раніше було задокументоване Group-IB у зв’язку з операцією під кодовою назвою Operation Olalampo.
• sentinelmemoryscanner.exe (бінарний файл, пов’язаний із продуктом SentinelOne) — завантажує шкідливу бібліотеку sentinelagentcore.dll. Вибір бінарного файла від виробника засобів захисту, на думку дослідників, є навмисним: підписаний файл від вендора безпеки з більшою імовірністю обійде сигнатурне виявлення.

Викрадення даних браузерів через ChromElevator

Обидві шкідливі бібліотеки містять вбудований відкритий інструмент ChromElevator, призначений для вилучення паролів, файлів cookie та платіжних даних із браузерів на базі Chromium. Інструмент спеціально розроблений для обходу механізму App-Bound Encryption (ABE) — захисту, яку Google впровадила, щоб запобігти крадіжці даних браузера сторонніми процесами.

Ланцюжок імплантів на базі Node.js

Окрім DLL sideloading, атакувальники використовували ланцюжок імплантів на основі Node.js для запуску скриптів PowerShell, що виконували:

• розвідку та збір інформації про середовище
• створення знімків екрана
• витягування хешів із реєстру SAM
• підвищення привілеїв
• організацію зворотного SOCKS5-проксі-тунелю

Щонайменше в одному випадку викрадені дані були розміщені на публічному сервісі передавання файлів sendit[.]sh. Атакувальники також виконували дамп облікових даних, щоб забезпечити латеральне переміщення мережею.

Індикатори компрометації

• IP-адреса C2: 157.20.182[.]49
• Сервіс ексфільтрації: sendit[.]sh
• Шкідливі бібліотеки: fmapp.dll, sentinelagentcore.dll
• Легітимні бінарні файли, що використовуються для sideloading: fmapp.exe, sentinelmemoryscanner.exe

Еволюція операційної дисципліни

Дослідники відзначають характерну особливість кампанії: активність атакувальників мала імпульсний характер, що вказує на роботу через імпланти, а не на постійну присутність оператора. У випадку з південнокорейським виробником MuddyWater багаторазово запускала розвідку через PowerShell і повторно виконувала обидва бінарні файли для збереження доступу.

На думку Symantec і Carbon Black, жодна з використаних технік не є принципово новою, однак їхня комбінація свідчить про суттєве підвищення операційної гігієни порівняно з тим, що було відомо про Seedworm два-три роки тому. Угруповання рухається в бік більш тихих і дисциплінованих операцій.

Паралельні іранські кібероперації

На тлі кампанії MuddyWater фіксується й інша активність, пов’язана з іранськими кібероператорами. Європейська рада запровадила санкції проти іранської компанії Emennet Pasargad за злам шведського SMS-сервісу, отримання доступу до французької бази даних підписників із подальшим виставленням її на продаж, а також за поширення дезінформації через скомпрометовані рекламні білборди під час Олімпійських ігор 2024 року в Парижі. За даними Держдепартаменту США, компанія також відома як Shahid Shushtari і пов’язана з Кіберелектронним командуванням КВІР (IRGC-CEC).

Крім того, за даними аналізу Gambit Security, у період із кінця березня до початку квітня 2026 року зафіксована окрема кампанія ексфільтрації даних, спрямована проти організацій у США, Ізраїлі, Саудівській Аравії та Туреччині. Щонайменше два американські об’єкти зазнали деструктивних операцій — видалення розділів і резервних копій даних. Відповідальність за атаки взяла на себе проіранська персона Ababil of Minab. У випадках без деструктивної активності атакувальники використовували спеціалізований інструмент ексфільтрації на C++ під внутрішньою кодовою назвою FileFiend, здатний перераховувати локальні диски та SMB-ресурси, обходити файлову систему й надсилати файли на жорстко заданий C2-сервер.

Рекомендації щодо захисту

• Моніторинг DLL sideloading: налаштуйте правила виявлення для завантаження непідписаних або нестандартних DLL процесами fmapp.exe та sentinelmemoryscanner.exe. Легітимні бінарні файли не повинні розміщуватися поза штатними каталогами інсталяції.
• Блокування IOC: додайте IP-адресу 157.20.182[.]49 і домен sendit[.]sh до чорних списків на рівні мережевого периметра та EDR.
• Контроль Node.js: обмежте виконання node.exe на робочих станціях і серверах, де Node.js не потрібен для бізнес-процесів. Відстежуйте запуск PowerShell із процесів Node.js.
• Захист облікових даних: увімкніть Credential Guard на системах Windows, обмежте доступ до реєстру SAM і моніторте спроби дампа облікових даних (події Sysmon ID 10 з доступом до lsass.exe).
• Аудит даних браузера: розгляньте впровадження політик, що забороняють зберігання паролів і платіжних даних у браузерах на корпоративних пристроях, із використанням централізованих менеджерів паролів.
• Сегментація мережі: обмежте латеральне переміщення через мікросегментацію, особливо для систем із доступом до критично важливих даних.

Кампанія MuddyWater першого кварталу 2026 року демонструє сталий тренд: угруповання не вигадує нові техніки, а комбінує відомі методи — DLL sideloading через підписані бінарні файли вендорів безпеки, відкриті інструменти для обходу захисту браузерів, імпульсну модель присутності — в більш дисципліновану операційну модель. Пріоритетна дія для команд захисту — перевірка мереж на наявність зазначених індикаторів компрометації та впровадження правил виявлення аномального завантаження DLL легітимними підписаними процесами, особливо в секторах виробництва, освіти, фінансів і державного управління.