أطلق MuddyWater، وهي مجموعة تجسس سيبراني موالية لإيران، حملة تجسس إلكتروني جديدة تستهدف البنية التحتية الحيوية في إسرائيل ومصر. وتفيد التقارير بأن هذه الحملة، التي امتدت من سبتمبر 2024 إلى مارس 2025، تركز على قطاعات متنوعة تشمل الهندسة والمرافق والحكومات المحلية والتكنولوجيا، مما يمثل تطوراً ملحوظاً في نضج عمليات المجموعة.
تشهد حملة MuddyWater الأخيرة نقلة نوعية من الهجمات السابقة التي كانت غالباً ما تكون واضحة، إلى منهجية أكثر تعقيداً. تجمع هذه المنهجية بين البرمجيات الخبيثة المصممة خصيصاً وتكتيكات متقدمة للتخفي، بهدف الحفاظ على وصول طويل الأمد للأنظمة المستهدفة دون إثارة تنبيهات لدى المدافعين. وبذلك، تسعى المجموعة إلى تعزيز قدراتها التخريبية.
MuddyWater تشن هجمات على البنية التحتية الحيوية بأساليب متطورة
يعتمد المسار الأولي للإصابة في هذه الحملة على أسلوب التصيد الاحتيالي الذي تستخدمه المجموعة بشكل متكرر. يتلقى الضحايا رسائل بريد إلكتروني تحتوي على روابط لبرامج التثبيت التي تبدو شرعية لبرامج المراقبة والإدارة عن بعد (RMM)، مثل Atera وSyncro وPDQ. ويتم استضافة هذه البرامج على خدمات مشاركة الملفات المجانية لتجنب إيقاظ الشكوك.
بمجرد اختراق هذه الأدوات للمحيط الأمني، يقوم المهاجمون بنشر مجموعة أدوات متطورة مصممة لسرقة بيانات الاعتماد واستخراج بيانات المتصفح الحساسة. وتجنب المجموعة عن قصد الجلسات التفاعلية التي تتطلب تدخلًا يدويًا مباشرًا، لأنها غالباً ما تؤدي إلى تفعيل أنظمة الإنذار.
أدوات برمجية جديدة وتقنيات متقدمة
لاحظ محللو الأمن في Welivesecurity أن المجموعة قد نشرت أدوات لم يتم توثيقها سابقًا، وبالتحديد “Fooder” loader و “MuddyViper” backdoor. تستخدم هذه المكونات واجهة برمجة تطبيقات التشفير CNG من ويندوز، وهي ميزة متقدمة نادراً ما شوهدت في المجموعات المرتبطة بإيران.
تتخفى البرمجيات الخبيثة كمقدمات لتطبيقات غير ضارة لإخفاء الغرض الحقيقي منها، وتستخدم سلاسل تحميل معقدة لتنفيذ الحمولة. وتُعد هذه القدرة على التخفي والتمويه عنصراً أساسياً في نجاح هجمات MuddyWater.
آليات تحميل Fooder و MuddyViper
الجانب الأكثر إثارة من الناحية الفنية في هذه الحملة هو Fooder loader، وهو ملف تنفيذي مخصص باستخدام C++، وتم تحديده من خلال مسارات PDB داخلية مثل C:UserswinDesktopFooderDebugLauncher.pdb. يقوم بتحميل MuddyViper backdoor مباشرة في الذاكرة. وبشكل فريد، يتنكر Fooder في هيئة لعبة الفيديو الكلاسيكية “Snake”، مما يدمج منطق اللعبة الأساسي ضمن إجراءات التخفي الخاصة به.
يستخدم Fooder وظيفة تأخير مخصصة جنباً إلى جنب مع استدعاءات API للراحة (Sleep API) لمحاكاة حلقات اللعبة، مما يؤخر التنفيذ بفعالية لتجاوز التحليل الآلي بواسطة البيئات المعزولة (sandboxes). هذه التقنية تمنح المهاجمين وقتاً ثميناً.
بعد التنفيذ، يقوم Fooder بفك تشفير حمولته باستخدام مفتاح AES ثابت. ويعمل MuddyViper بعد ذلك بالكامل داخل الذاكرة، ويقوم بإنشاء سجلات حالة مفصلة مثل [+] Persist: ——————– Hi,I am Live للإشارة إلى تنشيطه. ويؤسس الثبات عبر مفاتيح السجل (registry keys) أو المهام المجدولة، ويتواصل مع خوادم القيادة والتحكم (C&C) باستخدام الاتصالات المشفرة.
تستخدم الـ backdoor أيضاً الهندسة الاجتماعية عن طريق عرض نوافذ تسجيل دخول وهمية لجمع بيانات اعتماد المستخدم. يبرز هذا المزيج من التمويه المرح والقدرات القوية للتجسس ترقية خطيرة في ترسانة MuddyWater. وتؤكد هذه الهجمات على الحاجة المستمرة لتعزيز الأمن السيبراني لحماية البنية التحتية الحيوية.