概要

MuddyWater（別名Earth Vetala、Mango Sandstorm、MUDDYCOAST）は、Middle East and North Africa (MENA)地域の組織と個人を標的とした新しいキャンペーン「Operation Olalampo」を開始しました。

新規展開されたマルウェアファミリー

MuddyWaterは、1月26日から観測されているこの活動を通じて、GhostFetchやHTTP_VIPなどのダウンローダーとRustバックドアであるCHARを含む新しいマルウェアファミリーを展開しています。

攻撃チェーン

• フィッシングメール：MuddyWaterは、悪意のあるマクロコードが含まれるMicrosoft Officeドキュメントを添付したフィッシングメールを使用します。このマクロコードは、システムにマルウェアをダウンロードおよび実行するためのpayloadを解読し展開します。
• Excelファイル：ユーザーにマクロを有効化させるように促す悪意のあるExcelファイルが使用されます。これによりCHARバックドアがシステムにインストールされます。
• テーマ別攻撃：フライトチケットやレポートなどのテーマを使用して、HTTP_VIPダウンローダーを配布し、AnyDeskリモートデスクトップソフトウェアを展開します。

MALWARE TOOLS

• GhostFetch：システムプロファイリングを行い、マウスの動きや画面解像度をチェックし、デバッガーや仮想マシンアーティファクト、アンチウィルスソフトウェアの存在を確認します。次に、二次ペイロードを直接メモリ内で取得および実行します。
• GhostBackDoor：GhostFetchによって配布される2段階目のバックドアで、インタラクティブシェル、ファイル読み書き、GhostFetchの再起動をサポートします。
• HTTP_VIP：システムリコンナイスンを行い、「codefusiontech[.]org」に接続して認証し、C2サーバーからAnyDeskを展開します。新規変種では、被害者の情報を取得し、インタラクティブシェルの開始やファイルのダウンロード/アップロード、クリップボードコンテンツのキャプチャ、スリープ/ビーコニング間隔の更新などの機能が追加されています。
• CHAR：Rustで開発されたバックドアで、Telegramボット（名前は「Olalampo」、ユーザー名は「stager_51_bot」）によって制御されます。このボットは、ディレクトリの変更やcmd.exeまたはPowerShellコマンドの実行を可能にします。

AI技術の活用

MuddyWaterは、Googleが昨年明らかにしたように、生成型AIツールを使用してカスタムマルウェアを開発し、ファイル転送とリモート実行を支援しています。また、CHARのソースコードにはデバッグ文字列として絵文字が含まれており、AI技術を利用している可能性があります。

今後の展望

MuddyWaterは、MENA地域の組織を主な標的とし、継続的に新しい攻撃手法を開発しています。特に、最近公開された脆弱性を利用して初期アクセスを得るなど、高度化した攻撃戦略を展開しています。

元記事: https://thehackernews.com/2026/02/muddywater-targets-mena-organizations.html