كشفت تقارير أمنية مؤخراً عن مجموعة MuddyWater الإيرانية التي تشن هجمات إلكترونية متطورة ضد مؤسسات في الشرق الأوسط وشمال أفريقيا. العملية الجديدة التي حملت اسم Operation Olalampo استخدمت أدوات خبيثة لم يشهدها الباحثون من قبل.
ما هي أدوات الهجوم الجديدة؟
وفقاً لتقرير نشرته شركة Group-IB، استخدمت المجموعة أربع أدوات خبيثة رئيسية في هذه الحملة:
- GhostFetch: أداة تحميل متطورة تقوم بتنزيل البرمجيات الخبيثة
- HTTP_VIP: برنامج تحميل يعمل عبر بروتوكول HTTP
- CHAR: باب خلفي (Backdoor) مكتوب بلغة Rust
- GhostBackDoor: برمجية خبيثة متقدمة يتم نشرها عبر GhostFetch
كيف تعمل سلسلة الهجوم؟
تبدأ الهجمات عادةً برسائل بريد إلكتروني احتيالية تحتوي على ملفات Microsoft Office ملغمة. عند فتح الملف وتفعيل وحدات الماكرو، يتم تنفيذ الأكواد الخبيثة التي تمنح المهاجمين تحكماً كاملاً في النظام.
تشير التحليلات التي رصدها تيكبامين إلى وجود ثلاث نسخ مختلفة من الهجوم:
- النسخة الأولى تستخدم ملف Excel خبيث يؤدي إلى نشر CHAR
- النسخة الثانية تقوم بتحميل GhostFetch الذي بدوره ينشر GhostBackDoor
- النسخة الثالثة تستخدم رسائل تتعلق بتذاكر الطيران لتوزيع HTTP_VIP
ما الذي يجعل CHAR مميزاً؟
كشف تحليل كود CHAR عن مؤشرات على استخدام الذكاء الاصطناعي في تطويره، حيث احتوى الكود على رموز تعبيرية (Emojis) في سطور التنقيح. هذا يتوافق مع ما كشفت عنه شركة Google العام الماضي حول تجربة هذه المجموعة لأدوات الذكاء الاصطناعي التوليدي.
كما أن CHAR يشبه في هيكله برمجية BlackBeard الخبيثة التي تم رصدها سابقاً في هجمات تستهدف كيانات في الشرق الأوسط.
ما هي القدرات الخطرة لهذه الأدوات؟
تتمتع هذه البرمجيات الخبيثة بقدرات خطيرة تشمل:
- تنفيذ وكيل SOCKS5 عكسي للتجسس على البيانات
- تحميل باب خلفي آخر يسمى Kalim
- سرقة البيانات من متصفحات الويب
- تشغيل ملفات تنفيذية غير معروفة مثل sh.exe
- نشر برنامج AnyDesk للتحكم عن بعد
كيف تحمي مؤسستك من هذه الهجمات؟
يوصي الخبراء الأمنيون باتخاذ عدة تدابير وقائية:
- عدم تفعيل وحدات الماكرو في ملفات Office غير الموثوقة
- تحديث برامج مكافحة الفيروسات بانتظام
- توعية الموظفين بمخاطر رسائل البريد الاحتيالية
- استخدام حلول الأمن السيبراني المتقدمة
تستمر مجموعة MuddyWater في تطوير أدواتها وتكتيكاتها، مما يجعل من الضروري على المؤسسات في المنطقة البقاء متيقظة وتوخي الحذر الشديد تجاه أي رسائل مشبوهة.
