كشفت تقارير أمنية حديثة عن حملة تصيد متطورة تستهدف قطاعات حيوية في منطقة الشرق الأوسط، تقف وراءها مجموعة MuddyWater APT المرتبطة بإيران. تركز الهجمات الجديدة على قطاعات مثل الدبلوماسية، الشحن البحري، القطاع المالي، وشبكات الاتصالات، مستخدمةً وثائق Word مصممة خصيصاً لتمرير برنامج خبيث جديد يعتمد على لغة Rust.
يُعرف هذا البرنامج الخبيث الجديد باسم RustyWater، ويمثل تحولاً ملحوظاً عن الأدوات التقليدية التي كانت تستخدمها المجموعة سابقاً، مثل PowerShell و VBScript. هذا التحديث في أدوات الهجوم يسمح للمتسللين بتجاوز أدوات مكافحة الفيروسات وأنظمة كشف الاستجابة لنقاط النهاية (EDR) بفعالية أكبر، مما يمثل تحدياً متزايداً للأمن السيبراني في المنطقة.
حملة MuddyWater الخبيثة تستهدف الشرق الأوسط ببرنامج RustyWater
تبدأ الهجمات برسائل بريد إلكتروني تبدو رسمية، مُصاغة بعناية لتبدو وكأنها موجهة من منظمات شرعية. تحتوي هذه الرسائل على وثائق Word مشبوهة، تتخفى غالباً تحت مسميات مثل “إرشادات الأمن السيبراني” أو “وثائق سياسات”، بهدف خداع المستلمين وتشجيعهم على تفعيل وحدات الماكرو.
عند تفعيل وحدات الماكرو، يتم تشغيل شفرة VBA المخفية، والتي تبدأ عملية الإصابة بتنزيل وتنفيذ حمولة RustyWater. يأتي هذا التطور في ظل رصد باحثي CloudSEK لأنماط غير معتادة في نشاط التهديدات السيبرانية التي تستهدف عدة مؤسسات في منطقة الشرق الأوسط.
آلية عملRustyWater والتحايل على أنظمة الحماية
تتضمن الوثيقة الخبيثة وظيفتين رئيسيتين من وحدات الماكرو تتعاونان لإنجاح عملية نشر الحمولة. تقوم وظيفة “WriteHexToFile” باستخلاص البيانات المشفرة بصيغة ست عشرية (hex-encoded) والمخفية داخل عنصر تحكم “UserForm”، ومن ثم تحويلها إلى صيغة ثنائية وحفظها كملف “CertificationKit.ini” في مجلد ProgramData.
أما الوظيفة الثانية، المسماة “love_me_”، فتعتمد على تشويش قيم ASCII لبناء سلاسل الأوامر بشكل ديناميكي. تعيد هذه الوظيفة بناء WScript.Shell باستخدام أكواد حرفية، ثم تنفذ الحمولة المحفوظة باستخدام cmd.exe. هذا الأسلوب المبتكر يساعد البرنامج الخبيث على تفادي الاكتشاف الروتيني من قبل أدوات الأمن التي تعتمد على التوقيعات الثابتة.
آليات التخفي والمثابرة المتعددة
يعمل RustyWater على ترسيخ وجوده في النظام المستهدف عن طريق إضافته إلى مفتاح بدء التشغيل في سجل ويندوز (Windows Registry startup key). يقوم البرنامج أولاً بفحص موقع “Run” الخاص بسجل المستخدم الحالي، ثم ينشئ إدخالاً يشير إلى ملف “CertificationKit.ini”، لضمان تشغيله تلقائياً عند بدء تشغيل النظام.
يستخدم البرنامج تقنية تشفير XOR مستقلة عن الموقع (position-independent XOR encryption) لإخفاء جميع السلاسل النصية داخله، مما يجعل عملية التحليل أكثر صعوبة. وقبل تنفيذ وظائفه الأساسية، يقوم RustyWater بمسح للنظام للكشف عن أكثر من 25 منتجاً من برامج مكافحة الفيروسات وأنظمة EDR، وذلك من خلال التحقق من أسماء الخدمات، وملفات الوكيل، ومسارات التثبيت.
عند اكتشاف أدوات أمنية على النظام، يقوم المالوير بتعديل سلوكه للبقاء مخفياً. يقوم البرنامج بجمع معلومات عن الضحية، بما في ذلك اسم المستخدم، اسم الكمبيوتر، وتفاصيل النطاق. يتم تجهيز هذه البيانات بصيغة JSON، ثم تطبيق تشفير Base64 وتشفير XOR بثلاث طبقات قبل إرسالها إلى خوادم القيادة والتحكم.
يستخدم RustyWater مكتبة “reqwest” المبنية بلغة Rust لإجراء اتصالات HTTP، مع ميزات مدمجة مثل تحديد المهلة، تجميع الاتصالات، ومنطق إعادة المحاولة. كما يقوم البرنامج الخبيث بإنشاء فترات تأخير عشوائية بين عمليات الاتصال، وذلك لجعل أنماط حركة مرور الشبكة أكثر صعوبة في التحليل.