تستعرض هذه المقالة تطور مجموعة MuddyWater المدعومة من إيران، حيث استخدمت أساليب جديدة وفعالة في هجماتها السيبرانية.
استخدمت مجموعة التجسس السيبراني MuddyWater المدعومة من إيران أدوات وتكتيكات جديدة لنشر برمجيات خبيثة مخصصة وغير موثقة ضد أهداف في إسرائيل ومصر خلال حملة في وقت سابق من هذا العام.
تمثل العملية تحولًا واضحًا لمجموعة MuddyWater نحو أساليب أكثر سرية وتقدمًا، وشملت استخدام محملات تعمل في الذاكرة فقط، وبوابات خلفية مخصصة، وتقنيات مصممة لتجنب الكشف والحفاظ على الاستمرارية. في تقرير صدر هذا الأسبوع، قالت شركة ESET إن هذه التحديثات تمثل تطورًا كبيرًا في قدرات MuddyWater وابتعادًا عن أسلوب العمليات الأكثر ضجيجًا الذي كانت تتبعه المجموعة تاريخيًا.
خصم أكثر سرية وتطورًا
تعتبر MuddyWater، المعروفة أيضًا باسم Mango Sandstorm أو TA450، نشطة منذ عام 2017 على الأقل، ويُشتبه في ارتباطها بوزارة الاستخبارات والأمن الوطني في طهران. ركزت المجموعة منذ فترة طويلة على سرقة المعلومات الحساسة من الوكالات الحكومية، والمنظمات العسكرية، ومزودي الاتصالات، وموفري البنية التحتية الحيوية، بشكل أساسي في إسرائيل. ومع ذلك، حققت المجموعة أيضًا ضحايا في مناطق أخرى، بما في ذلك أمريكا الشمالية ومنطقة الشرق الأوسط.
عادة ما كانت MuddyWater تحصل على الوصول إلى بيئات الأهداف عبر رسائل بريد إلكتروني تصيدية تحتوي على مرفقات خبيثة أو روابط لتنزيلات برامج مزيفة. تضمنت مجموعة أدواتها كل من البوابات الخلفية المخصصة والإصدارات المعدلة من أدوات الاختراق المتاحة للجمهور. على الرغم من نشاطها العالي، اكتسبت MuddyWater سمعة على مر السنين لعملياتها الضجيجية والأخطاء التي يمكن أن يكتشفها المدافعون.
تركزت الحملة الأخيرة التي تتبعها ESET على مدار الفترة من أواخر سبتمبر 2024 حتى منتصف مارس 2025، وكانت تستهدف بشكل رئيسي المنظمات الإسرائيلية، على الرغم من أن ESET رصدت على الأقل ضحية واحدة مؤكدة في مصر.
وفقًا لمزود الأمن، اعتمدت MuddyWater على محمل جديد بقدرة 64 بت، يُعرف باسم “Fooder”، لفك تشفير وتنفيذ حمولاتها بالكامل في الذاكرة لتجنب آليات الكشف التقليدية. استخدم المهاجمون Fooder لنشر بوابة خلفية غير مرئية سابقًا تُدعى “MuddyViper”، مما منحهم تحكمًا واسعًا على الأنظمة المخترقة. سمحت هذه البوابة لمهاجمي MuddyWater بتنفيذ أوامر عشوائية، وسرقة بيانات الاعتماد، واستخراج البيانات، وإنشاء قنوات عكسية، والحفاظ على الاستمرارية. وجدت أبحاث ESET عدة إصدارات من محمل Fooder متخفية كـ “لعبة الثعبان” وتتميز بآلية تأخير مخصصة، مشابهة لمنطق لعبة الثعبان، مما يبطئ تنفيذ البرمجيات الخبيثة كوسيلة لتجنب أدوات الكشف الآلي.
التعاون مع مجموعات أخرى مرتبطة بإيران؟
من الجدير بالذكر أنه خلال الحملة، تداخلت أنشطة MuddyWater مع أنشطة Lyceum، وهي مجموعة مرتبطة بإيران وتعتبر مجموعة فرعية من OilRig. في حالة واحدة على الأقل، رصدت ESET MuddyWater تعمل كوسيط للوصول الأولي لنشر أدوات في بيئة ضحية استخدمتها لاحقًا Lyceum. اعتبرت ESET ذلك مؤشرًا على احتمال التعاون بين المجموعتين. تعتبر OilRig مجموعة تجسس سيبراني إيرانية نشطة منذ عام 2014 على الأقل، معروفة بشكل أساسي باستهدافها للحكومات وقطاعات الطاقة والاتصالات والمالية عبر الشرق الأوسط وأوروبا وأمريكا الشمالية.
“تشير هذه الحملة إلى تطور في نضج العمليات لمجموعة MuddyWater”، قالت ESET في تقريرها. “إن نشر مكونات غير موثقة سابقًا – مثل محمل Fooder والبوابة الخلفية MuddyViper – يشير إلى جهد لتعزيز السرية والاستمرارية وقدرات سرقة البيانات”، أضافت شركة الأمن. سلط التقرير الضوء على استخدام MuddyWater لتقنيات التهرب المستوحاة من ألعاب الفيديو، والأنفاق العكسية، ومجموعة أدوات متنوعة كتعكس نهجًا أكثر تطورًا، “على الرغم من بقاء آثار عدم نضج العمليات للمجموعة”. تشمل هذه الآثار بوابات خلفية تعتمد على PowerShell وGo يمكن اكتشافها بسهولة، والتواصل المتكرر بين برمجيات MuddyWater وبنيتها التحتية للتحكم في الأوامر.
تعتبر MuddyWater واحدة من عدة مجموعات قرصنة مدعومة من الدولة تعمل من إيران وتقوم بأنشطة تجسس وتخريب وعمليات تأثير تتماشى مع المصالح الاستراتيجية لطهران. تشمل التهديدات الإيرانية الرئيسية APT33 (Elfin)، التي تستهدف قطاعات الطيران والطاقة؛ APT34 (OilRig)، التي تركز على الخدمات المالية والمنظمات الحكومية؛ APT35 (Charming Kitten)، التي تتخصص في سرقة البيانات المستهدفة للصحفيين والشخصيات السياسية؛ وAPT39، المعروفة باستهدافها لشركات الاتصالات والطيران والسفر. وقد لاحظ الباحثون الأمنيون أن هذه المجموعات تتشارك في كثير من الأحيان الأدوات والبنية التحتية.
مع استمرار تطور أساليب MuddyWater، يبقى من الضروري مراقبة الأنشطة السيبرانية المرتبطة بإيران لضمان الأمن السيبراني.
