مجموعة MuddyWater كتدير حملة Ransomware للتمويه باستعمال الهندسة الاجتماعية فـ Microsoft Teams

خلاصة (TL;DR) — مجموعة MuddyWater الإيرانية المدعومة من الدولة، تلاحظات كتموه راسها بحال شي تابع لخدمة Chaos ransomware-as-a-service (RaaS) باش تدير هجمات موجهة، وكتستعمل Microsoft Teams باش تسرق الـ بيانات اعتماد وتتلاعب بـ MFA. عوض ما يشفرو الملفات، هاد الحملة كتعطي الأولوية لتسريب البيانات والبقاء فالنظام عن طريق أدوات الوصول عن بعد. تحديد الهوية ديال المهاجمين تعتمد على شهادات توقيع الأكواد (code-signing certificates) لي كانت مرتبطة بـ فاعل التهديد من قبل.

شنو واقع

شركة Rapid7 كتاشفات واحد الحملة فبداية 2026 منسوبة لـ MuddyWater، كتستغل السمية ديال Chaos RaaS فالوقت لي الأهداف ديالها كتبان بحال تجسس مدعوم من الدولة ماشي ابتزاز مالي. هاد الهجوم كيبدا بطلبات تواصل غير مرغوب فيها فـ Microsoft Teams موجهة للموظفين المستهدفين.

المهاجمين كيبداو جلسات ديال الشات خارجية، وكيداعيو أنهم من الدعم التقني (IT support) ولا شي دور موثوق. فمدة مشاركة الشاشة، كيسرقو الـ بيانات اعتماد وكيتلاعبو بإعدادات المصادقة متعددة العوامل (MFA). ملي كيدخلو لبيئة الضحية، هاد فاعل التهديد كيستعمل الحسابات المخترقة باش يدير استطلاع، يتبت راسو فالسيسطيم، ويتحرك أفقيا (lateral movement).

يتم تسليم الـ حمولة (payload) ديال الاختراق عبر RDP عن طريق تنفيذ ملف ms_upd.exe (المعروف بـ Stagecomp)، لي كيتشارجا من 172.86.126[.]208 باستعمال curl. هاد الملف فالمرحلة الأولى كيجمع معلومات على النظام وكيتواصل مع سيرفر C2 باش يجيب تلاتة ديال المكونات إضافية: game.exe (المعروف بـ Darkcomp، وهو RAT مخصص كيتخفى على شكل Microsoft WebView2)، و WebView2Loader.dll (مكتبة شرعية ديال Microsoft)، و visualwincomp.txt (إعدادات مشفرة ديال C2). هاد الـ RAT كيقلب على أوامر من سيرفر C2 ديالو كل 60 ثانية، وكيدعم تنفيذ أوامر عشوائية، سكربتات PowerShell، عمليات على الملفات، وفتح shell.

البقاء فالنظام كيتدار عبر أدوات الوصول عن بعد بحال DWAgent و AnyDesk. موراها، كيبدا تسريب البيانات، وكيتبعو تواصل عبر الإيميل باش يطلبو فدية. الملاحظ هو أن تشفير الملفات ما كيوقعش واخا كاينين آثار ديال Chaos ransomware، وهادشي كيخالف طريقة العمل العادية ديال الـ ransomware، وكيبين بلي هاد المكون تستعمل غير كتمويه وغطاء ماشي هو الهدف الرئيسي.

نسبة هاد الهجوم لـ MuddyWater جات من واحد شهادة توقيع الأكواد المنسوبة لـ "Donald Gay"، لي تستعملات باش تسينيي ms_upd.exe. هاد الشهادة براسها كانت تستعملات من قبل باش تسينيي أداة التحميل CastleLoader (Fakeset)، وهادشي كيتبت الاستمرارية مع البنية التحتية المعروفة ديال MuddyWater.

علاش هادشي مهم

هاد الحملة كتبين استراتيجية تشغيلية متعمدة باش يخبيو هوية المهاجم ويعقدو الاستجابة الدفاعية. باستعمال علامة تجارية معروفة فـ RaaS (لي هي Chaos)، فاعل التهديد كيخلط بين أهداف مدعومة من الدولة وجرائم إلكترونية دافعها مالي، وهادشي يقدر يوجه جهود الاستجابة للحوادث واصطياد التهديدات للطبقات الدفاعية ضد الـ ransomware العادية عوض المؤشرات ديال الوصول المستمر.

بالنسبة للمدافعين فمنطقة الشرق الأوسط وشمال إفريقيا (MENA) وخارجها، الاعتماد على أدوات شرعية (Microsoft Teams، Quick Assist، AnyDesk، DWAgent) ونسخ ملغومة من مكتبات رسمية (WebView2) كيعني أن التوقيعات ديال الكشف والتحليل السلوكي خاصها تاخد بعين الاعتبار البرامج الشرعية لي كتعاود تستعمل كـ ناقل هجوم (attack vector). مرحلة الهندسة الاجتماعية لي كتستهدف الموظفين عبر Teams كتمثل مساحة هجوم كتركز على العامل البشري، والضوابط التقنية بوحدها ما كافياش باش تواجهها.

الغياب الواضح ديال التشفير واخا تم إعداد الـ ransomware كيشير لكون الهدف الحقيقي هو سرقة البيانات والبقاء فمدة طويلة فالنظام، ماشي التعطيل الفوري. هاد النمط كيتماشى مع جمع المعلومات الاستخباراتية المدعومة من الدولة كتر من الجريمة الإلكترونية الانتهازية.

الأنظمة المتأثرة والـ CVEs

• Microsoft Teams
• Microsoft Quick Assist
• Microsoft Edge WebView2
• DWAgent
• AnyDesk
• Thanos ransomware
• Qilin ransomware
• Chaos RaaS (كوسيلة للتمويه)

ما تم تخصيص حتى CVE فـ وقت النشر.

شنو خاصك دير

• راقبو وقيدو طلبات Teams الخارجية وجلسات مشاركة الشاشة، خصوصا من حسابات خارجية غير معروفة؛ وطبقو سياسات التحقق من هوية المتصل فاش كيتعلق الأمر بالتواصل ديال الدعم التقني.
• طبقو وراقبو ضوابط MFA على أي حوايج غير طبيعية، بحال محاولات التلاعب المشبوهة ولا طلبات إعادة المصادقة غير المتوقعة وسط الجلسات النشطة.
• حبسو ولا قيدو تشغيل أدوات الوصول عن بعد (DWAgent، AnyDesk، Microsoft Quick Assist) فالشبكة ديالكم (perimeter) إلا يلا كانت ضرورية لمتطلبات الخدمة؛ وراقبو أي تتبيث غير مصرح بيه.
• راقبو اتصالات RDP المشبوهة وتنفيذ أدوات بحال curl لي كتيليشارجيو ملفات تنفيذية من سيرفرات خارجية، خصوصا من 172.86.126[.]208 ولا البنية التحتية المرتبطة بيه.
• طبقو application whitelisting باش تمنعو تشغيل الملفات التنفيذية المشبوهة ولا لي ما مسينيينش؛ وتأكدو من شهادات توقيع الأكواد ضد الهويات المعروفة بلي تستغلات (بما فيها ديك لي منسوبة لـ "Donald Gay").
• ديرو افتحاص لجميع حسابات المستخدمين باش تقلبو على أي تسريب للـ بيانات اعتماد؛ وبدلو الـ بيانات اعتماد لأي حساب يقدر يكون تكرص فـ جلسات مشاركة الشاشة ديال Teams.
• راقبو مؤشرات التحرك الأفقي (lateral movement) وآليات البقاء فالنظام لمدة طويلة؛ وحددو وعالجو أي حالات تنصب فيها DWAgent ولا AnyDesk بلا إذن صريح.
• ديرو مراقبة لتكامل الملفات (file integrity monitoring) وتقسيم الشبكة باش تكتشفو وتحبسو محاولات تسريب البيانات.
• قارنو اللوغات الداخلية مع أوقات الاتصال بـ C2 (كل 60 ثانية مع بنية تحتية خبيثة معروفة) ومسارات الملفات وسلاسل التنفيذ لي تذكرات الفوق.

أسئلة باقة مطروحة

• النطاق الكامل والعدد ديال الضحايا المتأثرين بحملة التمويه ديال MuddyWater ما معلنش عليه.
• القطاعات أو المؤسسات المحددة لي تم استهدافها فهاد الحملة ما مذكوراش فالتقارير المتوفرة.
• واش مجموعة Chaos RaaS فخبارها بلي كتستعمل كغطاء لعمليات MuddyWater، ولا واش هادشي تمويه متعمد بلا علم Chaos، هادشي تفاصيلو باقة ما واضحاش.
• الإطار الزمني الدقيق والمدة ديال الاختراق لي حللاتها Rapid7 ما محددينش.
• التفاصيل على مطالب الفدية ولا المفاوضات مع الضحايا ما متوفراش.
• النطاق الكامل ديال العمليات لي مرتبطة بإيران واللائحة الكاملة ديال فاعل التهديد والشخصيات المتورطة باقة غير مكتملة.

المصدر

MuddyWater Uses Microsoft Teams to Steal Credentials in False Flag Ransomware Attack