كشفت تقارير أمنية حديثة عن حملة تجسس إلكتروني جديدة تقودها مجموعة MuddyWater الإيرانية، تستهدف قطاعات حيوية في الشرق الأوسط باستخدام برمجية خبيثة متطورة تعتمد على لغة Rust.
وتأتي هذه الهجمات كجزء من تطور مستمر في أساليب المجموعة، التي تسعى لتنويع ترسانتها الرقمية لتفادي أنظمة الحماية التقليدية واستهداف مؤسسات حساسة في المنطقة.
ما هي القطاعات المستهدفة في هجوم MuddyWater؟
تُظهر البيانات أن الحملة الجديدة تركز بشكل مكثف على اختراق شبكات المؤسسات في عدة مجالات استراتيجية. وقد رصد خبراء الأمن السيبراني نشاطاً مكثفاً يستهدف الكيانات التالية:
- الهيئات الدبلوماسية والحكومية.
- شركات القطاع البحري والشحن.
- المؤسسات المالية والبنوك.
- شركات الاتصالات ومزودي خدمات الإنترنت.
ووفقاً لتحليلات فريق تيكبامين، فإن هذا التحول نحو لغة البرمجة Rust يعكس رغبة المهاجمين في بناء أدوات أكثر ثباتاً وصعوبة في الكشف مقارنة بالأدوات السابقة.
كيف تعمل برمجية RustyWater الخبيثة؟
تعتمد آلية الهجوم بشكل أساسي على رسائل التصيد الاحتيالي (Spear-phishing) الموجهة بدقة. تبدأ العملية عادةً بإرسال رسائل بريد إلكتروني تبدو شرعية، تحتوي على إرشادات أمنية مزيفة أو مستندات إدارية.
تتضمن سلسلة الهجوم الخطوات التالية:
- إرسال مستندات Microsoft Word ملغمة كملفات مرفقة.
- خداع الضحية لتفعيل "Enable Content" لتشغيل وحدات الماكرو.
- تنفيذ كود VBA خبيث يقوم بتحميل وزرع برمجية Rust في النظام.
- إنشاء اتصال مع خوادم القيادة والتحكم (C2) لتلقي الأوامر.
ما هي قدرات البرمجية الجديدة؟
تتميز البرمجية الجديدة، التي يُطلق عليها اسم RustyWater أو RUSTRIC، بمجموعة من القدرات المتقدمة التي تجعلها خطراً كبيراً على أمن المعلومات في المؤسسات المستهدفة.
تشمل أبرز الخصائص التقنية ما يلي:
- الاتصال غير المتزامن: القدرة على التواصل مع خوادم المهاجمين بشكل متقطع لتجنب الرصد.
- مقاومة التحليل: تقنيات مدمجة لمنع الباحثين الأمنيين من فحص الكود المصدري.
- تثبيت الاستمرار: تعديل سجلات النظام (Windows Registry) لضمان عمل البرمجية حتى بعد إعادة التشغيل.
- التوسع المعياري: إمكانية تحميل وحدات إضافية لتنفيذ مهام محددة بعد الاختراق الأولي.
تطور أساليب الهجمات السيبرانية
يُعد الانتقال من استخدام أدوات PowerShell و VBScript إلى لغات مثل Rust توجهاً متزايداً لدى مجموعات التهديد المتقدمة. يهدف هذا التغيير إلى تقليل "الضجيج" الذي قد تلتقطه أنظمة الكشف والاستجابة (EDR)، مما يمنح المهاجمين وقتاً أطول داخل الشبكة قبل اكتشافهم.
كما تم رصد نشاط لهذه البرمجية تحت مسميات أخرى مثل عملية IconCat، حيث استهدفت شركات تكنولوجيا المعلومات ومزودي الخدمات المدارة (MSPs) في المنطقة، مما يستدعي رفع مستوى الحذر وتحديث أنظمة الحماية بشكل دوري.
