26.05.2026
1 хв
122
Іранське хакерське угруповання MuddyWater запустило нову хвилю атак, у якій використовує DLL side-loading для запуску шкідливого ПЗ через легітимні програми. Кампанія націлена на організації на Близькому Сході та використовує фішингові листи й підроблені файли для проникнення в системи.
Іранську хакерську групу під назвою MuddyWater пов’язують з новою кампанією, яка вразила щонайменше дев’ять організацій у дев’яти країнах на чотирьох континентах у першому кварталі 2026 року.
За даними команди Threat Hunter Team від Symantec та Carbon Black, цільовою групою атак були промислове та електронне виробництво, освітні та державні установи, фінансові та професійні послуги. Серед жертв – великий південнокорейський виробник електроніки, мережа якого була атакована зловмисниками протягом тижня у лютому 2026 року.
Також у рамках масштабної шпигунської операції були виділені міжнародний аеропорт на Близькому Сході, промислові виробники Південно-Східної Азії та латиноамериканський постачальник фінансових послуг.
«Зловмисники значною мірою покладалися на завантаження DLL-бібліотек, використовуючи легітимно підписані бінарні файли Fortemedia (fmapp.exe) та SentinelOne (sentinelmemoryscanner.exe) для виконання шкідливих DLL-бібліотек, маскуючись під безпечне програмне забезпечення», – заявили команди Broadcom з кібербезпеки.
Використання “fmapp.exe” для завантаження “fmapp.dll” раніше було задокументовано Group-IB у зв’язку з іншою кампанією MuddyWater під кодовою назвою Operation Olalampo. За даними Huntress, DLL містить код для підключення до IP-адреси, контрольованої зловмисником (“157.20.182[.]49”).
З іншого боку, зловживання “sentinelmemoryscanner.exe” – бінарним файлом, пов’язаним із продуктом безпеки – оцінюється як навмисний вибір, оскільки він може обійти виявлення на основі сигнатур. Він розроблений для завантаження шахрайської DLL-бібліотеки під назвою “sentinelagentcore.dll”.
Обидві DLL-бібліотеки містять інструмент з відкритим кодом під назвою ChromElevator для крадіжки паролів, файлів cookie та даних платіжних карток з браузерів на базі Chromium, ефективно обходячи захист шифрування, пов’язаного з програмами (ABE).
Вартим уваги аспектом атак є використання скриптів Node.js для запуску коду PowerShell, відповідального за виконання операцій виявлення та збору інформації. Принаймні в одному випадку було виявлено, що зловмисники розміщують викрадені дані на sendit[.]sh, публічному сервісі передачі файлів.
«Ланцюжок імплантів на основі node.exe використовувався для скидання скриптів PowerShell, які виконували розвідку, зйомку екрана, крадіжку куща SAM, ескалацію привілеїв та тунелювання зворотного проксі-сервера SOCKS5», – заявили Symantec та Carbon Black.
Також постачаються дві вищезгадані пари DLL для бокового завантаження, щоб забезпечити зловмисникам прихований тунель для ретрансляції трафіку та запуску ChromElevator. Атаки також характеризуються спробами скинути облікові дані, які дозволять їм переміщатися по мережах.
Вважається, що під час атаки, спрямованої на південнокорейського виробника електроніки, MuddyWater неодноразово проводила розвідку на основі PowerShell, а також повторно виконувала два бінарні файли, щоб забезпечити собі доступ до скомпрометованого хоста. Початковий вектор доступу, який використовувався для зламу організації, невідомий.
«Каденція знову ж таки відповідає активності, зумовленій імплантатами, а не безперервній присутності оператора», – сказали дослідники. «Історія його кампанії демонструє чіткий рух до тихіших, більш дисциплінованих операцій. Жодна з цих методик окремо не є новою, але в поєднанні вони надають більше доказів значного покращення операційної гігієни порівняно з насіннєвим черв’яком, про якого ми знали два-три роки тому».
Ця подія відбулася після того, як Європейська Рада запровадила санкції проти іранської компанії Emennet Pasargad за злом шведського SMS-сервісу, доступ до вмісту французької бази даних абонентів та виставлення її на продаж, а також за поширення дезінформації через скомпрометовані рекламні білборди під час Олімпійських ігор 2024 року в Парижі.
Згідно з даними Державного департаменту США, компанія відома під назвою Shahid Shushtari та пов’язана з Кіберелектронним командуванням Корпусу вартових ісламської революції Ірану (КВІР-ЦВК). Її діяльність відстежується під назвами Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (раніше ChaoticOrchestra), Marnanbridge та UNC5866.
«Члени Шахіда Шуштарі завдали значної фінансової шкоди та зривів діяльності американських підприємств та урядових установ через скоординовані кібероперації та операції з використанням кіберпослуг», – зазначив Державний департамент у грудні 2025 року. «Ці кампанії були спрямовані на кілька критично важливих секторів інфраструктури, включаючи новини, судноплавство, подорожі, енергетику, фінанси та телекомунікації у Сполучених Штатах, Європі та на Близькому Сході».
Хакери, яких підтримує Іран, також були пов’язані з кампанією з вилучення даних, спрямованою на організації в США, Ізраїлі, Саудівській Аравії та Туреччині, яка проводилася в період з кінця березня до початку квітня 2026 року, причому щонайменше дві жертви зі США також стали ціллю руйнівних операцій, таких як видалення розділів та резервне копіювання даних.
Хоча відповідальність за ці інциденти взяла на себе проіранська особа на ім’я Абабіл з Мінаба, новий аналіз від Gambit Security пов’язав інфраструктуру кампанії з Міністерством розвідки та безпеки Ірану (MOIS).
Серед інших цілей – ізраїльська організація в медіасекторі, ізраїльський вищий навчальний заклад, турецьке страхове брокерське агентство та кілька додаткових вебсайтів у сфері ресторанного бізнесу, культури, цифрових послуг та новин.
Не спостерігалося жодної руйнівної діяльності щодо цих жертв. У цих випадках було виявлено, що зловмисник використовує спеціалізований інструмент для збору та вилучення файлів на C++ під внутрішньою кодовою назвою FileFiend.
«Бінарний файл міг перераховувати локальні диски та спільні SMB-ресурси, проходити файлову систему та надсилати файли на жорстко закодований сервер C2 [командування та управління]», – заявили дослідники Gambit Security Еял Села та Нір Варон у звіті, опублікованому сьогодні.
Або ж дані, що цікавлять, стискаються в RAR-архіви на хості в середовищі жертви та завантажуються на публічний веб-сайт організації в кореневому каталозі, звідки вони витягуються за допомогою прискорювача завантаження командного рядка Axel та тунелюються через проксі-чейни.
