مجموعة MuddyWater الإيرانية تستغل Microsoft Teams لسرقة بيانات الاعتماد في هجمات فدية مموّهة

كشف باحثون في Rapid7 عن حملة هجومية متقدمة تقودها مجموعة MuddyWater الإيرانية — المعروفة أيضاً بأسماء Mango Sandstorm وSeedworm وStatic Kitten — تستغل منصة Microsoft Teams كنقطة دخول أولية لسرقة بيانات الاعتماد والتلاعب بإعدادات المصادقة متعددة العوامل MFA، مع نشر عناصر من برمجية Chaos Ransomware كعلم مزيف لإخفاء الطبيعة الحقيقية للعملية: تجسس حكومي مستهدف.

آلية الهجوم: الهندسة الاجتماعية عبر Microsoft Teams

تبدأ سلسلة الإصابة بمرحلة هندسة اجتماعية مكثفة عبر Microsoft Teams، حيث يبادر المهاجمون بفتح محادثات مع موظفين مستهدفين ويطلبون إنشاء جلسات مشاركة شاشة تفاعلية. خلال هذه الجلسات، يوجّه المهاجمون الضحايا إلى صفحات تصيّد مصممة لتقليد واجهة Microsoft Quick Assist، أو يُقنعونهم بكتابة كلمات المرور في ملفات نصية محلية يتم استخراجها لاحقاً. الأخطر من ذلك أن المهاجمين يتلاعبون بإعدادات MFA أثناء جلسات المشاركة، مما يمنحهم وصولاً مستمراً حتى بعد تغيير كلمات المرور.

أدوات ما بعد الاختراق والحركة الجانبية

بعد الحصول على بيانات الاعتماد، ينشر المهاجمون أداة AnyDesk للوصول عن بُعد لضمان الاستمرارية. تم رصد استخدام ملف تنفيذي باسم ms_upd.exe موقّع بشهادة رقمية منسوبة إلى "Donald Gay"، وهي نفس الشهادة التي استُخدمت سابقاً من قبل MuddyWater لتوقيع أداة CastleLoader المعروفة باسم Fakeset. هذا الارتباط التقني هو ما أكّد نسب الحملة إلى المجموعة الإيرانية بدلاً من مجموعة فدية عشوائية.

العلم المزيف: Chaos Ransomware كغطاء للتجسس

الجانب الأكثر خطورة في هذه الحملة هو استراتيجية العلم المزيف False Flag. رغم وجود عناصر من برمجية Chaos Ransomware على الأنظمة المخترقة، لم يتم تشفير أي ملفات فعلياً. زرع المهاجمون هذه العناصر عمداً لتوجيه فرق الاستجابة للحوادث نحو فرضية هجوم فدية تقليدي، بينما الهدف الحقيقي هو جمع المعلومات الاستخباراتية والتجسس طويل الأمد. هذا التكتيك يعقّد عملية الاستجابة بشكل كبير، إذ قد تُهدر الفرق الأمنية وقتاً ثميناً في التعامل مع تهديد فدية غير حقيقي بينما يستمر التجسس الفعلي.

التأثير على المؤسسات المالية السعودية

تحمل هذه الحملة أبعاداً بالغة الخطورة للمؤسسات المالية في المملكة العربية السعودية. مجموعة MuddyWater معروفة باستهدافها لدول الخليج، والقطاع المالي السعودي يُعد هدفاً استراتيجياً للتجسس الإيراني. اعتماد المؤسسات المالية المتزايد على Microsoft Teams في الاتصالات الداخلية والخارجية يوسّع سطح الهجوم بشكل ملحوظ. يُلزم إطار SAMA CSCC المؤسسات بتطبيق ضوابط صارمة لإدارة الهوية والوصول (الفصل 3-3)، كما يتطلب NCA ECC ضوابط محددة لمنصات التعاون المؤسسي. الفشل في اكتشاف هذا النوع من الهجمات يعني خرقاً مباشراً لمتطلبات الرقابة التنظيمية.

التوصيات والخطوات العملية

1. تقييد اتصالات Teams الخارجية: عطّل إمكانية تلقي محادثات من مستأجرين خارجيين غير معتمدين عبر إعدادات External Access في Microsoft Teams Admin Center، واعتمد قائمة بيضاء للنطاقات الموثوقة فقط.
2. تعزيز حماية MFA ضد التلاعب: فعّل سياسات الوصول المشروط Conditional Access التي تمنع تعديل إعدادات MFA من أجهزة غير مُدارة، واستخدم Phishing-Resistant MFA مثل FIDO2 أو Windows Hello for Business بدلاً من OTP التقليدي.
3. مراقبة أدوات الوصول عن بُعد: أنشئ قواعد كشف في SIEM/EDR لرصد تثبيت أو تشغيل أدوات مثل AnyDesk وTeamViewer وQuick Assist على محطات العمل، وحظرها عبر AppLocker أو WDAC إلا في حالات الاستثناء الموثقة.
4. تدريب متخصص على الهندسة الاجتماعية عبر Teams: أضف سيناريوهات Microsoft Teams إلى برنامج التوعية الأمنية، مع التركيز على طلبات مشاركة الشاشة غير المتوقعة وطلبات إدخال بيانات الاعتماد خارج صفحات تسجيل الدخول الرسمية.
5. اعتماد فرضية الاختراق في الاستجابة: عند اكتشاف مؤشرات فدية، لا تفترض أنها هجوم فدية فقط — وسّع نطاق التحقيق ليشمل فرضية التجسس الحكومي والأعلام المزيفة، وفقاً لما يتطلبه SAMA CSCC في إدارة الحوادث السيبرانية.

مؤشرات الاختراق الرئيسية IOCs

ينبغي لفرق SOC إضافة المؤشرات التالية إلى منصات الكشف: ملف ms_upd.exe الموقّع بشهادة "Donald Gay"، اتصالات AnyDesk غير مصرّح بها من محطات عمل مؤسسية، جلسات Microsoft Teams مع مشاركة شاشة من مستأجرين خارجيين مجهولين، وأي ملفات مرتبطة بعائلة Chaos Ransomware دون نشاط تشفير فعلي. ارتباط هذه المؤشرات مع بيانات CastleLoader/Fakeset السابقة يعزز دقة الكشف.

الخلاصة

تمثل حملة MuddyWater عبر Microsoft Teams تطوراً نوعياً في أساليب مجموعات التهديد المتقدم APT، حيث تجمع بين الهندسة الاجتماعية التفاعلية واستغلال أدوات التعاون المؤسسي واستراتيجيات الأعلام المزيفة. المؤسسات المالية السعودية بحاجة إلى مراجعة فورية لسياسات Microsoft Teams وضوابط MFA وإجراءات الاستجابة للحوادث لمواجهة هذا النمط المتطور من التهديدات.

هل مؤسستك مستعدة لمواجهة هجمات الهندسة الاجتماعية المتقدمة عبر منصات التعاون؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتعزيز دفاعاتك ضد مجموعات التهديد الإقليمية.