Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa MuddyWater, łączona z operacjami sponsorowanymi przez państwo irańskie, została powiązana z kampanią, która pozorowała incydent ransomware, choć jej rzeczywistym celem była kradzież poświadczeń, utrzymanie trwałego dostępu do środowiska ofiary oraz utrudnienie atrybucji. Szczególnie niepokojące jest wykorzystanie Microsoft Teams jako kanału inżynierii społecznej, co pokazuje, że zaufane platformy komunikacyjne coraz częściej stają się pełnoprawnym wektorem ataku.
W analizowanym scenariuszu napastnicy nie koncentrowali się przede wszystkim na szyfrowaniu danych i szybkim wymuszeniu okupu. Zamiast tego prowadzili działania bliższe operacji wywiadowczej i post-exploitation, wykorzystując elementy kojarzone z ransomware jako zasłonę dymną.
W skrócie
Incydent opisany przez badaczy dotyczył kampanii z początku 2026 roku, w której operatorzy kontaktowali się z pracownikami przez zewnętrzne czaty w Microsoft Teams, podszywając się pod personel wsparcia IT. W trakcie interaktywnych sesji udostępniania ekranu wyłudzano dane logowania i manipulowano procesami uwierzytelniania wieloskładnikowego.
Po uzyskaniu dostępu atakujący prowadzili rozpoznanie, wdrażali narzędzia zdalnego zarządzania, przemieszczali się lateralnie i wyprowadzali dane. Choć w kampanii pojawiały się artefakty powiązane z rodziną Chaos, schemat działania odbiegał od klasycznego ransomware i wskazywał raczej na długofalową infiltrację niż na destrukcyjny atak szyfrujący.
Kontekst / historia
MuddyWater od lat pozostaje jedną z najlepiej rozpoznanych grup powiązanych z irańskimi operacjami cybernetycznymi. Jej aktywność była obserwowana zarówno wobec instytucji rządowych, jak i podmiotów prywatnych, a wcześniejsze raporty wielokrotnie wskazywały na łączenie klasycznych technik APT z metodami utrudniającymi przypisanie kampanii do konkretnego aktora.
W tym przypadku dodatkowe zamieszanie wprowadza wykorzystanie elementów kojarzonych z marką Chaos, funkcjonującą w modelu ransomware-as-a-service. Tego typu zabieg pozwala stworzyć obraz incydentu motywowanego finansowo, podczas gdy faktyczny cel może obejmować szpiegostwo, sabotaż lub długotrwałe utrzymanie dostępu do infrastruktury ofiary. Dla zespołów reagowania oznacza to ryzyko błędnej klasyfikacji zdarzenia już na wczesnym etapie analizy.
Analiza techniczna
Łańcuch ataku rozpoczynał się od kontaktu przez Microsoft Teams. Napastnicy wysyłali wiadomości z zewnętrznych kont i prowadzili rozmowę przypominającą standardowy kontakt z helpdeskiem. Następnie nakłaniali ofiary do rozpoczęcia sesji udostępniania ekranu, co umożliwiało obserwację działań użytkownika, przejęcie poświadczeń oraz osłabienie lub obejście mechanizmów MFA.
Po uzyskaniu pierwszego dostępu operatorzy wykonywali czynności rozpoznawcze, przeglądali pliki związane z konfiguracją VPN i skłaniali użytkowników do wpisywania danych logowania do lokalnie utworzonych plików tekstowych. W części przypadków wdrażano dodatkowe narzędzia zdalnego dostępu, takie jak AnyDesk i DWAgent, co pozwalało utrzymać kontrolę nad stacją roboczą niezależnie od pierwotnej sesji socjotechnicznej.
W dalszej fazie ataku zaobserwowano pobranie pliku wykonywalnego oznaczanego jako ms_upd.exe z zewnętrznego serwera przy użyciu curl przez RDP. Komponent ten inicjował wieloetapowy łańcuch infekcji, zbierał informacje o systemie i komunikował się z serwerem C2 w celu pobrania kolejnych elementów. Jednym z nich był game.exe, czyli niestandardowy trojan zdalnego dostępu podszywający się pod legalną aplikację opartą o Microsoft WebView2.
W pakiecie znajdował się również legalny plik WebView2Loader.dll oraz zaszyfrowana konfiguracja używana do komunikacji z infrastrukturą dowodzenia. Sam RAT działał cyklicznie, odpytywał serwer C2 i pozwalał na wykonywanie poleceń systemowych, uruchamianie skryptów PowerShell, operacje na plikach oraz otwieranie interaktywnych powłok cmd.exe i PowerShell. To zestaw funkcji charakterystyczny dla operacji post-exploitation i utrzymania dostępu, a nie dla typowego wdrożenia ransomware nastawionego na szybkie szyfrowanie zasobów.
- Wejście przez zewnętrzny czat w Microsoft Teams
- Podszycie się pod wsparcie IT i wykorzystanie udostępniania ekranu
- Kradzież poświadczeń oraz manipulacja MFA
- Instalacja narzędzi AnyDesk i DWAgent
- Pobranie loadera ms_upd.exe i uruchomienie kolejnych etapów infekcji
- Wdrożenie niestandardowego RAT podszywającego się pod aplikację WebView2
- Eksfiltracja danych i utrzymanie trwałej obecności
Konsekwencje / ryzyko
Najpoważniejszym zagrożeniem jest błędne rozpoznanie charakteru incydentu. Jeśli organizacja uzna takie zdarzenie wyłącznie za próbę wymuszenia, może skupić się na scenariuszu szyfrowania i negocjacjach, ignorując obecność przeciwnika w sieci, cichą eksfiltrację danych czy dalszą penetrację środowiska.
Atak z użyciem Teams pokazuje również, jak skuteczne mogą być kampanie prowadzone przez zaufane platformy współpracy. Pracownicy częściej obdarzają je zaufaniem niż pocztę elektroniczną od nieznanego nadawcy, przez co są bardziej podatni na instrukcje wydawane w czasie rzeczywistym przez rzekome wsparcie techniczne.
Dodatkowym ryzykiem jest wykorzystanie legalnych narzędzi administracyjnych i komponentów, które nie zawsze wzbudzają podejrzenia systemów bezpieczeństwa. W praktyce zwiększa to szansę na długotrwałe ukrycie aktywności napastnika, kompromitację kont uprzywilejowanych, przejęcie dostępu do zasobów VPN oraz późniejsze wykorzystanie zdobytej infrastruktury do kolejnych operacji.
Rekomendacje
Organizacje powinny ograniczyć możliwość kontaktu zewnętrznych użytkowników przez Microsoft Teams, zwłaszcza jeśli nie jest on niezbędny z perspektywy biznesowej. Warto wdrożyć jasne oznaczenia rozmów spoza organizacji, polityki dopuszczające wyłącznie zaufanych nadawców oraz ostrzeżenia wyświetlane użytkownikom przed rozpoczęciem interakcji.
Kluczowe znaczenie ma również edukacja pracowników w zakresie scenariuszy helpdesk impersonation. Personel powinien wiedzieć, że dział IT nie prosi przez czat o wpisywanie haseł do plików tekstowych, instalowanie narzędzi zdalnego dostępu bez zgłoszenia serwisowego ani udostępnianie ekranu w celu „naprawy” procesu logowania.
- Ograniczenie lub wyłączenie zewnętrznych czatów w Microsoft Teams
- Weryfikacja tożsamości wsparcia IT według formalnych procedur
- Monitorowanie i kontrola użycia narzędzi RMM oraz zdalnego dostępu
- Wdrożenie allowlistingu aplikacji i blokowanie nieautoryzowanych binariów
- Inspekcja aktywności PowerShell, curl, RDP, AnyDesk, DWAgent i nietypowego użycia WebView2
- Analiza logów tożsamości pod kątem anomalii MFA i nietypowych sesji logowania
- Segmentacja sieci oraz ograniczenie dostępu do danych uprzywilejowanych i konfiguracji VPN
- Szybka izolacja stacji roboczych, na których wykryto socjotechnikę prowadzoną w czasie rzeczywistym
W organizacjach o podwyższonym profilu ryzyka warto traktować incydenty z elementem ransomware jako możliwe operacje maskujące. Oznacza to potrzebę pełnego polowania na mechanizmy persistence, analizę komunikacji z C2 oraz sprawdzenie, czy przed pojawieniem się narracji o okupie nie doszło już do eksfiltracji danych.
Podsumowanie
Kampania przypisywana MuddyWater pokazuje, że współczesne operacje cybernetyczne coraz częściej łączą techniki APT z metodami znanymi z ekosystemu ransomware. Microsoft Teams został wykorzystany jako kanał początkowego dostępu i manipulacji użytkownikiem, a elementy Chaos posłużyły jako warstwa dezinformacyjna utrudniająca ocenę prawdziwego celu ataku.
Dla zespołów bezpieczeństwa płynie z tego jasny wniosek: obecność artefaktów ransomware nie oznacza automatycznie motywacji finansowej. Skuteczna obrona musi obejmować nie tylko endpointy i pocztę elektroniczną, ale również platformy współpracy, procedury helpdesku, kontrolę narzędzi administracyjnych i szybkie wykrywanie anomalii w obszarze tożsamości.
Źródła
- The Hacker News — https://thehackernews.com/2026/05/muddywater-uses-microsoft-teams-to.html
- Rapid7 — Muddying the Tracks: The State-Sponsored Shadow Behind Chaos Ransomware — https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/
- Infosecurity Magazine — Iran-Linked APT Posed as Chaos Ransomware Member in Espionage Campaign — https://www.infosecurity-magazine.com/news/iran-linked-apt-chaos-ransomware/
- BleepingComputer — MuddyWater hackers use Chaos ransomware as a decoy in attacks — https://www.bleepingcomputer.com/news/security/muddywater-hackers-use-chaos-ransomware-as-a-decoy-in-attacks/