MuddyWater под маской Chaos: как разведка Ирана прячется в экосистеме вымогателей

Фото автора

CyberSecureFox Editorial Team

MuddyWater, иранская государственно связанная группировка, начала проводить целевые шпионские и саботажные операции под «вывеской» вымогателей Chaos, используя Microsoft Teams для высокоинтерактивного социального обмана, кражи учётных данных и обхода многофакторной аутентификации, но при этом избегая шифрования и фокусируясь на скрытой персистентности и утечке данных; это напрямую затрагивает организации в США и на Ближнем Востоке и требует пересмотра подхода к инцидентам, которые выглядят как «обычные» атаки вымогателей, но на деле могут преследовать стратегические цели Ирана.

Технические детали кампании MuddyWater под брендом Chaos

В исследованном Rapid7 инциденте (начало 2026 года) MuddyWater имитирует почерк RaaS‑группы Chaos, но меняет ключевую цель: вместо шифрования — шпионская активность и закрепление в инфраструктуре.

Начальный доступ: Microsoft Teams как канал высоко‑тактильной социальной инженерии

  • Атака начинается с внешних чатов в Microsoft Teams: злоумышленники выходят напрямую на сотрудников, часто представляясь IT‑поддержкой.
  • Используется интерактивный screen sharing: оператор буквально «ведёт за руку» жертву, показывая, куда нажать и что ввести.
  • Во время сессии:
    • выполняются базовые команды разведки среды;
    • открываются файлы с конфигурациями VPN;
    • пользователей просят ввести логин/пароль в локально созданные текстовые файлы.
  • Через полученные учётные данные атакующие обходят MFA, манипулируя пользователем во время авторизации.

По терминологии MITRE ATT&CK T1566 (Phishing), это не классическая почтовая фишинговая кампания, а более опасный вариант прямой социальной инженерии в корпоративном мессенджере, где граница между «поддержкой» и злоумышленником для сотрудника практически размывается.

Закрепление и перемещение: ставка на легальные средства удалённого управления

  • Для персистентности используются DWAgent и AnyDesk, а также встроенные возможности вроде RDP.
  • В минимум одном случае AnyDesk устанавливается прямо во время сессии screen sharing.
  • Через RDP злоумышленник запускает curl для загрузки исполняемого файла ms_upd.exe с внешнего сервера 172.86.126[.]208.
  • Этот бинарник инициирует многоступенчатую цепочку заражения и развёртывает RAT:
    • постоянное соединение с C2;
    • опрос команды управления каждые 60 секунд;
    • исполнение системных команд и скриптов PowerShell;
    • операции с файлами;
    • интерактивная оболочка cmd.exe или PowerShell по запросу оператора.

Такая тактика хорошо укладывается в T1078 (Valid Accounts) и T1105 (Ingress Tool Transfer): злоумышленник не ломает систему «в лоб», а переходит к жизни внутри инфраструктуры под видом легального пользователя и легальных инструментов.

Фальшивые артефакты вымогателей и роль сертификата

  • В инфраструктуре жертвы фиксируются артефакты, связанные с Chaos ransomware (бренд, методики вымогательства), однако:
    • шифрования файлов не происходит;
    • акцент делается на эксфильтрацию данных и выстраивание долгосрочного доступа;
    • переговоры о «выкупе» ведутся через email.
  • Критический признак атрибуции — использование сертификата кода с субъектом «Donald Gay» для подписи ms_upd.exe.
  • Тот же сертификат ранее применялся в кластере MuddyWater для подписания загрузчика CastleLoader (Fakeset), который ставит CastleRAT и другие компоненты.

Именно связь по сертификату, а не «бренд» вымогателей, является здесь надёжным техническим мостом между текущей кампанией и исторической активностью MuddyWater.

IOC из описанной кампании

  • IP‑адрес C2 / загрузчика: 172.86.126[.]208
  • IP‑адрес инфраструктуры в операции против Омана: 172.86.76[.]127
  • Исполняемый файл: ms_upd.exe
  • Сертификат подписи кода: субъект "Donald Gay"
  • RMM‑инструменты в подозрительном контексте: DWAgent, AnyDesk, Microsoft Quick Assist

Контекст группировки MuddyWater и использование криминальной экосистемы

MuddyWater (также известна как Seedworm, Mango Sandstorm, Static Kitten) давно ассоциируется с Ираном и документирована в профиле MITRE как G0069. Текущая кампания логично продолжает её эволюцию.

От деструктивного «псевдо‑ransomware» к глубоко интегрированному RaaS

  • 2020: атаки на израильские организации с загрузчиком PowGoop, разворачивавшим модификацию Thanos с деструктивными возможностями.
  • 2023: сотрудничество с кластером DEV‑1084 (persona DarkBit) для деструктивных атак под видом вымогательства.
  • Октябрь 2025: использование вымогателя Qilin против израильской государственной больницы через партнёрскую «аффилиатскую» программу.

В каждом из этих кейсов вымогатель выступал не как самоцель, а как прикрытие для разрушения, давления и сокрытия разведывательных задач. В новой кампании MuddyWater под «брендом» Chaos ситуация ещё более показательна:

  • применяются методы и сервисы, характерные для коммерческой модели RaaS (двойное, тройное, местами четверное вымогательство — добавление DDoS и давления через контакты с клиентами/конкурентами);
  • однако вместо массовой монетизации виден прицельный интерес к данным, устойчивому доступу и целевым организациям.

Для SOC и IR‑команд главный вывод: наличие известных «брендов» вымогателей в артефактах больше не гарантирует, что перед вами чисто криминальное вымогательство. Это может быть государственная операция, использующая рынок RaaS как маскировку и логистику.

Другие иранские операции: Оман и связка с физическим ущербом

Оман: открытый каталог с C2‑кодом и 26 000 записей пользователей

Hunt.io обнаружила на 172.86.76[.]127 открытый каталог с:

  • инструментарием атаки и кодом C2;
  • журналами сессий;
  • архивами эксфильтрованных данных.

Цель — Министерство юстиции и правовых дел Омана (домен mjla.gov[.]om):

  • более 26 000 пользовательских записей;
  • данные по судебным делам и решениям комитетов;
  • дампы системных реестров SAM и SYSTEM (база для дальнейшей компрометации учёток и движка домена).

Хактивизм и порт Fujairah: связь кибер‑и кинетического доменов

Параллельно прокси‑структуры, дружественные Ирану (например, Handala Hack), заявляют о:

  • публикации данных почти о 400 военнослужащих ВМС США в Персидском заливе;
  • компрометации порта Fujairah в ОАЭ с утечкой порядка 11 000 документов (накладные, судоходные и таможенные записи);
  • использовании похищенной инфраструктурной информации порта для нацеливания ракетных ударов.

Если эти заявления подтвердятся, это будет одним из наиболее явных примеров того, как кибероперации прямо подготавливают почву для физического поражения объектов инфраструктуры. Для операторов портов, логистики и энергетики это означает, что традиционный фокус на защите ИТ‑активов недостаточен без одновременного анализа, как эти данные могут усилить эффективность кинетических ударов.

Оценка воздействия и профиль риска

  • География риска: США (основной массив жертв Chaos по данным на март 2026), Израиль, Оман, ОАЭ и в целом Ближний Восток.
  • Отрасли:
    • строительство, производство, бизнес‑услуги (типичные цели Chaos);
    • здравоохранение (израильский госпиталь);
    • правительственный сектор и судебная система (Оман);
    • портовая и транспортно‑логистическая инфраструктура (Fujairah).
  • Тип последствий при бездействии:
    • долгосрочное скрытое присутствие за счёт RMM‑инструментов и валидных учётных записей;
    • утечка чувствительных данных (личные данные, судебные решения, внутренние схемы инфраструктуры);
    • использование данных для политического давления, дестабилизации или подготовки физического ущерба.

Наибольший риск несут организации, где RMM‑инструменты широко используются и слабо контролируются, а внешние коммуникации в Teams разрешены по умолчанию.

Практические рекомендации по защите и реагированию

1. Жёсткий контроль Microsoft Teams и каналов поддержки

  • Отключите или ограничьте внешние чаты в Teams до проверенных доменов‑партнёров.
  • Настройте оповещения при:
    • инициации screen sharing с внешними пользователями;
    • массовых запросах к учеткам или изменении настроек MFA через такие сессии.
  • Формализуйте единый канал IT‑поддержки: сотрудник должен понимать, что любая «поддержка» вне этого канала — подозрительна.
  • Включите обучение с конкретным сценарием: «человек в Teams просит ввести пароль в текстовый файл / поделиться экраном на этапе ввода пароля» — повод немедленно прекращать сессию и сообщать в безопасность.

2. Управление RMM‑инструментами (DWAgent, AnyDesk, Quick Assist и др.)

  • Ведите реестр всех разрешённых средств удалённого администрирования.
  • Реализуйте контроль запуска приложений (allow‑list): любое новое RMM‑ПО вне списка — повод для расследования.
  • Мониторьте:
    • установку и запуск AnyDesk и DWAgent на серверах и критичных рабочих станциях;
    • исходящие сессии этим ПО за пределы корпоративных диапазонов.
  • Запретите использование RDP с внешних адресов без VPN и строгой аутентификации.

3. Укрепление аутентификации и борьба с социальной инженерией вокруг MFA

  • Внедрите механизмы типа number‑matching и контекстных подсказок в MFA, чтобы было сложнее «продавить» пользователя через Teams.
  • Ограничьте число MFA‑запросов и блокируйте учётную запись при множественных отклонениях (защита от «усталости MFA»).
  • Минимизируйте наличие локальных администраторов; особенно на рабочих станциях пользователей, часто взаимодействующих снаружи (поддержка, продажи, операторы портов и т.п.).

4. Поиск следов компрометации и охота по TTP

  • Проверьте журналы:
    • подключений к 172.86.126[.]208 и 172.86.76[.]127 (прямо или через curl);
    • создание или запуск файлов ms_upd.exe на серверах и рабочих станциях;
    • установку/запуск AnyDesk и DWAgent в нетипичных сегментах;
    • подозрительные сессии Microsoft Teams от внешних пользователей с последующей активностью от тех же учёток в VPN/AD.
  • Проанализируйте все недавно добавленные доверенные сертификаты кода; обратите особое внимание на субъекты, не соответствующие вашим политикам (например, «Donald Gay»).
  • Постройте правила детектирования для сценариев T1041 (Exfiltration Over C2 Channel), учитывая длительные малозаметные сессии RAT с периодическим опросом C2.

5. Для госсектора и критической инфраструктуры региона

  • Разделите сети ИТ и операционной технологии (OT), ограничив маршрутизацию между сегментами портов, энергетики и бизнес‑систем.
  • Пересмотрите доступ поставщиков и подрядчиков к системам управления инфраструктурой (включая RMM и VPN). Любой внешний доступ должен быть:
    • идентифицирован по конкретному человеку;
    • ограничен по времени;
    • журналируем и записываем (session recording).
  • Включите в планы реагирования сценарий, при котором «инцидент с вымогателем» может быть прикрытием для подготовки физического удара (по аналогии с кейсом порта Fujairah).

Ключевой вывод для организаций, работающих с чувствительными данными и инфраструктурой, заключается в том, что любой инцидент с элементами вымогательства теперь следует рассматривать как потенциальную государственную операцию; первоочередным практическим шагом должно стать обновление процедур реагирования: помимо блокировки вымогателя включать системный поиск скрытой персистентности через RMM‑средства, анализ утечки данных и проверку аномальной активности в Teams и иных каналах удалённого взаимодействия.

Фото автора

CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

CyberSecureFox

© 2026 INFO

О сайте

О нас

Авторы

Контакты

Редакция

Редакционные стандарты

Исправления

Правовая информация

Политика конфиденциальности

Условия использования