MuddyWater תוקפת תשתיות קריטיות וארגונים בישראל

25.12.25

ESET25.12.25

MuddyWater תוקפת תשתיות קריטיות וארגונים בישראל: כך ESET מסכלת את האיום המתקדם ביותר של 2025

בשנה האחרונה מזהים חוקרי ESET עלייה חדה בפעילות קבוצת הסייבר האיראנית MuddyWater נגד ארגונים ותשתיות קריטיות בישראל. על פי ממצאי המעבדה הגלובלית של ESET, הקבוצה התמקדה בארגוני טכנולוגיה, הנדסה, ייצור, רשויות מקומיות ומוסדות חינוך בישראל - מגזרי ליבה המשפיעים ישירות על רציפות תפקודית במשק.

MuddyWater, הידועה גם כ-Mango Sandstorm או TA450, פועלת כזרוע ריגול לטובת ממשלת איראן, כאשר הדגש המרכזי שלה הוא החדירה לארגונים ממשלתיים ותשתיות קריטיות. ההתקפה שנחשפה בישראל מהווה עדות לעליית מדרגה טכנית: התוקפים משתמשים בכלים מותאמים אישית, לודרים מתחזים, והטמעת דלתות אחוריות המסוגלות לבצע איסוף מידע, הפעלת פקודות, גניבת סיסמאות וחדירה לדפדפנים.

מתקפה שמתחזה למשחק “Snake” - אבל משתלטת על המערכות

אחד הכלים הבולטים שנחשפו בקמפיין הוא Fooder זדוני שמתחזה למשחק Snake הקלאסי. הוא נטען בזיכרון באופן שקט (“reflective loading”), ומפעיל את ה-backdoor החדש MuddyViper.

MuddyViper מעניק לתוקף גישה ישירה ליכולות מתקדמות כגון:

• שליטה מרחוק במערכת
• הוצאת נתוני התחברות
• הרצת פקודות מאובסקות כדי להימנע מזיהוי
• העברת קבצים החוצה ללא התרעה

בנוסף, הקמפיין כלל גם כלים לגניבת סיסמאות מדפדפנים כמו Chrome ,Edge ו-Firefox - סימן לכך שהתוקפים מכוונים גם לחשבונות ענן ומשאבים ארגוניים רגישים.

איך MuddyWater חודרת לארגונים בישראל?

השלב הראשון במתקפה מבוסס על פישינג ממוקד (Spear-Phishing): מיילים הכוללים קבצי PDF המפנים להתקנת תוכנות שליטה מרחוק (RMM) כגון Atera ,Level או AnyDesk. לאחר ההתקנה - הזרימה הזדונית יכולה להתחיל.

הדבר המטריד במיוחד הוא שמדובר בקמפיין בעל דיוק גבוה, שמצליח לעקוף מנגנוני זיהוי אוטומטיים בזכות עיכובי הרצה, התחזות לממשקים לגיטימיים ושימוש ב-CNG - ממשק הצפנה מתקדם שנדיר לראות בקבוצות איראניות.