MuddyWater يستهدف بنوك SAMA: تجسس إيراني عبر Microsoft Teams

كشفت تحقيقات حديثة لشركة Rapid7 عن حملة تجسس سيبراني خطيرة تنفذها مجموعة MuddyWater الإيرانية المعروفة أيضاً باسم Mango Sandstorm وSeedworm، تستهدف فيها مؤسسات الشرق الأوسط عبر Microsoft Teams. الحملة تتميز بأسلوب فريد: استخدام فدية Chaos كستار مزيف لإخفاء نشاط استخباراتي حقيقي مدعوم من دولة. هذا التطور يطرح تحدياً مباشراً للبنوك السعودية الخاضعة لرقابة SAMA، خاصة مع الاعتماد المتزايد على منصات التعاون السحابية.

تشريح الهجوم: كيف تستغل MuddyWater منصة Microsoft Teams

وفقاً لتحليل Rapid7، يبدأ الاختراق بمرحلة هندسة اجتماعية عالية اللمس عبر Microsoft Teams، حيث ينتحل المهاجمون صفة موظفي الدعم الفني داخل المؤسسة المستهدفة. يتم استخدام جلسات مشاركة الشاشة التفاعلية لإقناع الضحايا بكتابة بيانات اعتمادهم في ملفات نصية محلية تحمل أسماء credentials.txt وcred.txt، ثم إضافة أجهزة المهاجمين إلى إعدادات المصادقة متعددة العوامل MFA الخاصة بهم.

بعد الحصول على الوصول الأولي، ينشر المهاجمون أداة تحكم عن بُعد مخصصة باسم Darkcomp تحت غطاء ملف Game.exe. تدعم هذه الأداة تنفيذ الأوامر، والتلاعب بالملفات، والحفاظ على جلسات shell دائمة. والأخطر أن الباب الخلفي موقّع بشهادة رقمية مرتبطة بعمليات MuddyWater السابقة، ويتصل بنطاق قيادة وتحكم C2 معروف لدى محللي التهديدات بأنه تابع لهذه المجموعة الإيرانية.

استراتيجية العلم الكاذب: لماذا تتنكر MuddyWater في زي عصابات الفدية؟

رغم أن الحادثة بدت في البداية متوافقة مع نشاط مجموعة Chaos للفدية كخدمة RaaS، إلا أن الأدلة الجنائية تكشف أنها هجوم مدعوم من دولة يتخفى كابتزاز انتهازي. اللافت أن المهاجمين لم ينشروا أي برمجية تشفير فعلية على الأجهزة المخترقة، بل زرعوا فقط مؤشرات Chaos كأعلام كاذبة لإخفاء النشاط الاستخباراتي الحقيقي.

هذا النموذج الهجين يستخدم الفدية كآلية للتمويه والإكراه والمرونة التشغيلية ضمن حملة أوسع موجهة بالمعلومات الاستخباراتية. المؤسسة المستهدفة قد تظن أنها ضحية ابتزاز مالي، فيما الواقع أن البيانات الحساسة قد سُرقت لأغراض تجسسية بحتة، مع ترك مسار تحقيق مضلل يصعّب الإسناد ويستهلك موارد فرق الاستجابة في اتجاه خاطئ.

التأثير المباشر على البنوك السعودية الخاضعة لرقابة SAMA

هذه الحملة تشكل تهديداً وجودياً لقطاع المصارف السعودي لعدة أسباب جيوسياسية وتقنية متشابكة. أولاً، MuddyWater مجموعة معروفة باستهداف القطاعات الحيوية في دول الخليج لأغراض استخباراتية ترتبط بأولويات الحكومة الإيرانية. ثانياً، Microsoft Teams و Microsoft 365 تُمثل العمود الفقري للتعاون اليومي في معظم البنوك المرخصة من البنك المركزي السعودي. ثالثاً، البيانات المستهدفة (المعاملات، علاقات المراسلين، مفاوضات الصفقات) ذات قيمة استخباراتية وليس مالية فقط.

من منظور الامتثال، تنتهك هذه الحملة عدة ضوابط في إطار SAMA Cyber Security Control Framework، خاصة الضابط 3.3.5 المتعلق بإدارة الهوية والوصول، والضابط 3.3.10 الخاص بالاستجابة للحوادث، والضابط 3.3.14 المتعلق بالتوعية الأمنية. كما تنطبق متطلبات NCA ECC في البندين 2-3-1 (إدارة الهوية) و2-12 (التوعية والتدريب الأمني). أي اختراق ناجح قد يؤدي إلى انتهاك متطلبات نظام حماية البيانات الشخصية PDPL إذا تأثرت بيانات العملاء.

التوصيات والخطوات العملية للحماية الفورية

1. تشديد سياسات المراسلة الخارجية في Microsoft Teams: تعطيل الرسائل الواردة من نطاقات خارجية افتراضياً، وتقييد خاصية External Access لقائمة بيضاء فقط من المؤسسات المعتمدة، وحظر مشاركة الشاشة من المستخدمين الضيوف.
2. تطبيق Conditional Access متقدم: فرض سياسات Conditional Access في Entra ID تتطلب أجهزة مُدارة من Intune، مع حظر تسجيل أجهزة MFA جديدة من خارج الشبكة المؤسسية، وتفعيل ميزة number matching في Microsoft Authenticator لمنع الموافقة الانعكاسية.
3. اكتشاف Darkcomp وأدوات MuddyWater: مراقبة أنظمة EDR للكشف عن العمليات الموقعة بشهادات مشبوهة، وحجب نطاقات C2 المعروفة لـ MuddyWater على مستوى DNS وجدار الحماية، ومراجعة سجلات Sysmon للبحث عن ملفات Game.exe ومؤشرات Chaos.
4. برنامج توعية مكثف ضد هندسة اجتماعية Teams: تدريب الموظفين على رفض أي طلب لكتابة بيانات الاعتماد في ملفات نصية أو إضافة أجهزة MFA بناءً على طلب من خلال Teams، حتى لو ظهر أن المتصل من تكنولوجيا المعلومات الداخلية. يجب أن يصبح هذا قاعدة صفر-ثقة لا استثناء فيها.
5. صيد التهديدات والتحقيق الجنائي: تشغيل عمليات Threat Hunting استباقية تركز على تكتيكات MITRE ATT&CK المرتبطة بـ MuddyWater (T1566.004 الهندسة الاجتماعية، T1078 الحسابات الصالحة، T1556 تعديل آلية المصادقة)، مع توثيق كامل للأدلة وفق متطلبات SAMA للإبلاغ عن الحوادث خلال 72 ساعة.
6. محاكاة الخصم Adversary Emulation: إجراء تمارين Purple Team تحاكي سلسلة هجوم MuddyWater الكاملة، من جلسة Teams الاحتيالية حتى نشر Darkcomp، لقياس فعالية الضوابط القائمة وكشف الفجوات قبل أن يستغلها الخصم الحقيقي.

الخلاصة

حملة MuddyWater 2026 تمثل نقلة نوعية في تكتيكات التهديدات المتقدمة المستمرة الإيرانية: التجسس المتنكر في زي الفدية. للقطاع المالي السعودي، الرسالة واضحة — منصات التعاون السحابية مثل Microsoft Teams لم تعد مجرد قنوات إنتاجية، بل أصبحت ساحة معركة سيبرانية حقيقية تتطلب رقابة وتدقيقاً بمستوى الأنظمة المالية الجوهرية. الاعتماد على ضوابط MFA الكلاسيكية وحدها لم يعد كافياً أمام خصم يُجبر الضحية على تسجيل أجهزته في حسابها بنفسها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وبناء برنامج كشف وصيد تهديدات يوازن متطلبات حماية البنية التحتية للقطاع المالي السعودي.