هجوم MuddyWater عبر Microsoft Teams: تجسس إيراني يتنكر خلف فدية Chaos

كشفت شركة Rapid7 عن حملة هجومية متقدمة تقف خلفها مجموعة MuddyWater الإيرانية المرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS)، حيث استغلت Microsoft Teams كقناة هندسة اجتماعية لسرقة بيانات الاعتماد، ثم زرعت برمجية Chaos Ransomware كغطاء مزيف لإخفاء عملية تجسس دولة ممنهجة. هذا الهجوم يمثل تطوراً خطيراً في تكتيكات مجموعات APT الإيرانية التي تستهدف منطقة الخليج بشكل متزايد.

آلية الهجوم: من رسالة Teams إلى اختراق كامل

يبدأ الهجوم بمرحلة إغراق البريد الإلكتروني (Mail Flooding) حيث يتلقى الضحية عشرات الرسائل غير المرغوبة لإرباكه، يعقبها اتصال عبر Microsoft Teams من شخص ينتحل صفة الدعم الفني لقسم تقنية المعلومات. يطلب المهاجم من الضحية مشاركة شاشته عبر خاصية Screen Sharing المدمجة في Teams، ثم يوجهه لتثبيت أدوات الوصول عن بُعد مثل Microsoft Quick Assist أو AnyDesk أو DWAgent. بمجرد الحصول على موطئ قدم، ينتقل المهاجم أفقياً داخل الشبكة مستخدماً بيانات الاعتماد المسروقة ويزرع أبواباً خلفية مخصصة.

برمجية Darkcomp: الباب الخلفي المخصص

نشر المهاجمون أداة وصول عن بُعد مخصصة أطلقوا عليها Darkcomp تعمل تحت اسم العملية Game.exe، وتدعم تنفيذ الأوامر عن بُعد والتلاعب بالملفات وتشغيل shell دائم للحفاظ على الثبات داخل الشبكة المخترقة. هذه الأداة تختلف تماماً عن أدوات مجموعات الفدية التجارية، وهو ما كشف الطبيعة الحقيقية للهجوم. اللافت أن المهاجمين لم ينشروا فعلياً أي برمجية تشفير ملفات على الأنظمة المخترقة رغم وجود عينات Chaos Ransomware، مما يؤكد أن الفدية كانت مجرد واجهة.

لماذا العلم الكاذب؟ التكتيك وراء التنكر

استخدام إطار Ransomware-as-a-Service تجاري مثل Chaos يحقق للمهاجمين عدة أهداف استراتيجية: أولاً، تعقيد عملية الإسناد (Attribution) بخلط النشاط الحكومي مع الجريمة الإلكترونية المالية. ثانياً، توجيه فرق الاستجابة للحوادث نحو احتواء تهديد الفدية بدلاً من البحث عن آليات الثبات الحقيقية مثل DWAgent وAnyDesk. ثالثاً، تمديد فترة البقاء داخل الشبكة (Dwell Time) بينما ينشغل المدافعون بالتهديد الظاهري. هذا التكتيك يمثل نضجاً ملحوظاً في عمليات الخداع السيبراني الإيرانية.

التهديد المباشر للمؤسسات المالية السعودية

تُعد مجموعة MuddyWater من أنشط مجموعات التهديد المتقدم التي تستهدف منطقة الخليج، وقد وثّقت تقارير متعددة استهدافها لقطاعات الطاقة والمالية والحكومة في المملكة العربية السعودية. اعتماد البنوك والمؤسسات المالية السعودية على Microsoft 365 وTeams بشكل مكثف يجعلها هدفاً مباشراً لهذا النوع من الهجمات. يتطلب إطار SAMA CSCC في نطاقي إدارة الهوية والوصول (IAM) وأمن نقاط النهاية (Endpoint Security) ضوابط صارمة تشمل تقييد أدوات الوصول عن بُعد ومراقبة سلوك المستخدمين. كما يُلزم إطار NCA ECC المؤسسات بتطبيق سياسات صارمة للتحكم في التطبيقات المسموح بتشغيلها على أجهزة الموظفين.

التوصيات والخطوات العملية

1. تقييد الاتصالات الخارجية في Teams: عطّل إمكانية تلقي رسائل ومكالمات من مستأجرين خارجيين (External Tenants) غير معتمدين، وحدد قائمة بيضاء بالنطاقات الموثوقة في إعدادات Microsoft 365 Admin Center.
2. حظر أدوات الوصول عن بُعد غير المعتمدة: استخدم سياسات Application Control عبر Microsoft Defender for Endpoint أو حلول EDR لحظر تنفيذ Quick Assist وAnyDesk وDWAgent وTeamViewer على أجهزة الموظفين ما لم تكن معتمدة رسمياً.
3. تفعيل مراقبة سلوكية متقدمة: اضبط قواعد SIEM لاكتشاف أنماط Mail Flooding المفاجئ يعقبها اتصال Teams من مصدر خارجي، فهذا التسلسل يُعد مؤشر اختراق (IoC) مباشر لهذه الحملة.
4. تدريب الموظفين على هجمات Vishing عبر Teams: حدّث برامج التوعية الأمنية لتشمل سيناريوهات انتحال الدعم الفني عبر Teams تحديداً، مع التأكيد أن قسم IT الحقيقي لن يطلب أبداً مشاركة الشاشة أو تثبيت برامج عبر رسالة Teams مفاجئة.
5. Threat Hunting لمؤشرات MuddyWater: ابحث في سجلات الشبكة عن اتصالات بالبنية التحتية المعروفة لـ MuddyWater، وراقب العمليات التي تحمل اسم Game.exe أو توقيعات Darkcomp RAT في أدوات EDR.
6. مراجعة صلاحيات MFA: تأكد من أن سياسات المصادقة متعددة العوامل لا يمكن تجاوزها عبر جلسات Screen Sharing، وفعّل Number Matching في Microsoft Authenticator لمنع هجمات MFA Fatigue.

الخلاصة

هجوم MuddyWater عبر Microsoft Teams يكشف عن مستوى جديد من التعقيد في العمليات السيبرانية الإيرانية، حيث تتنكر عمليات التجسس خلف واجهة برمجيات الفدية لتضليل فرق الدفاع. المؤسسات المالية السعودية التي تعتمد على Microsoft 365 بحاجة ماسة لمراجعة سياسات الاتصال الخارجي في Teams وتعزيز قدرات Threat Hunting لمواجهة هذا النوع من التهديدات المركبة التي تجمع بين الهندسة الاجتماعية والأدوات المتقدمة وتكتيكات الخداع.

هل مؤسستك مستعدة لمواجهة هجمات APT المتقدمة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديد الثغرات في سياسات Microsoft 365 لديكم.