قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار حمله باج‌افزار پرچم دروغین MuddyWater

حمله باج‌افزار پرچم دروغین MuddyWater

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

گروه تهدید تحت حمایت دولت ایران، MuddyWater، که با نام‌های مستعاری مانند Mango Sandstorm، Seedworm و Static Kitten نیز ردیابی می‌شود، به یک کمپین باج‌افزاری پیچیده مرتبط شده است که محققان آن را یک عملیات پرچم دروغین توصیف می‌کنند. اگرچه این نفوذ در ابتدا شبیه فعالیتی مرتبط با یک عملیات باج‌افزار به عنوان سرویس (RaaS) معمولی با استفاده از برند باج‌افزار Chaos بود، اما تجزیه و تحلیل عمیق‌تر، ویژگی‌هایی سازگار با یک حمله سایبری هدفمند تحت حمایت دولت را نشان داد که در پوشش اخاذی با انگیزه مالی پنهان شده بود.

این عملیات که در اوایل سال ۲۰۲۶ شناسایی شد، به شدت به مهندسی اجتماعی از طریق Microsoft Teams متکی بود. مهاجمان جلسات تعاملی بسیار تعاملی با قربانیان برگزار کردند و از قابلیت اشتراک‌گذاری صفحه نمایش برای جمع‌آوری اطلاعات احراز هویت و دستکاری فرآیندهای احراز هویت چند عاملی استفاده کردند. پس از دستیابی به دسترسی، عوامل تهدید، تاکتیک‌های سنتی باج‌افزاری مانند رمزگذاری فایل در مقیاس بزرگ را کنار گذاشتند و در عوض بر سرقت داده‌ها، پایداری مخفیانه و دسترسی طولانی مدت به شبکه از طریق ابزارهای مدیریت از راه دور تمرکز کردند.

استفاده از ترفندهای جرایم سایبری برای پنهان کردن عملیات دولتی

محققان معتقدند که این کمپین نشان دهنده تلاش عمدی MuddyWater برای پنهان کردن انتساب با استفاده از ابزارها و تکنیک‌هایی است که معمولاً با اکوسیستم‌های جرایم سایبری مرتبط هستند. این گروه به طور فزاینده‌ای بدافزارهای زیرزمینی موجود در بازار و چارچوب‌های دسترسی از راه دور را در عملیات خود ادغام کرده است، از جمله ابزارهایی مانند CastleRAT و Tsundere.

این تاکتیک با کمپین‌های قبلی MuddyWater که جاسوسی و فعالیت‌های مخرب را با عملیات‌هایی به سبک باج‌افزار ترکیب می‌کردند، همسو است. در سال ۲۰۲۰، این گروه با استفاده از لودر PowGoop سازمان‌های بزرگ اسرائیلی را هدف قرار داد تا یک نوع مخرب از باج‌افزار Thanos را مستقر کند. در سال ۲۰۲۳، مایکروسافت این گروه را در جریان حملاتی که به عنوان حوادث باج‌افزاری پنهان شده بودند، به DEV-1084، بازیگری مرتبط با شخصیت DarkBit، مرتبط دانست. تا اواخر سال ۲۰۲۵، اپراتورهای مرتبط با ایران نیز مظنون به استفاده از باج‌افزار Qilin علیه یک بیمارستان دولتی اسرائیل بودند.

محققان امنیتی به این نتیجه رسیدند که آخرین کمپین احتمالاً شامل اپراتورهای وابسته به ایران بوده است که از طریق زیرساخت‌های جرایم سایبری مستقر فعالیت می‌کنند و در عین حال اهداف ژئوپلیتیکی گسترده‌تری را دنبال می‌کنند. استفاده از Qilin و مشارکت در اکوسیستم‌های وابسته به باج‌افزار احتمالاً پوشش عملیاتی، انکارپذیری قابل قبول و دسترسی به قابلیت‌های حمله بالغ را فراهم کرده و در عین حال به مهاجمان کمک کرده است تا از نظارت دفاعی تشدید شده اسرائیل فرار کنند.

RaaS هرج و مرج: یک اکوسیستم اخاذی رو به رشد

گروه Chaos در اوایل سال ۲۰۲۵ به عنوان یک عملیات Ransomware-as-a-Service ظهور کرد که به خاطر تاکتیک‌های تهاجمی اخاذی دوگانه شناخته می‌شود. این گروه برنامه وابسته خود را در انجمن‌های جرایم سایبری زیرزمینی مانند RAMP و RehubCom تبلیغ کرد و به سرعت دامنه عملیاتی خود را گسترش داد.

کمپین‌های آشوب معمولاً ترکیبی از حملات ایمیلی، فیشینگ صوتی و حملات جعل هویت مایکروسافت تیمز هستند که در آن‌ها مهاجمان خود را به عنوان کارمند پشتیبانی فناوری اطلاعات جا می‌زنند. قربانیان برای نصب برنامه‌های دسترسی از راه دور مانند Microsoft Quick Assist فریب داده می‌شوند و به مهاجمان این امکان را می‌دهند که قبل از افزایش امتیازات، حرکت جانبی و استقرار باج‌افزار، در محیط‌های سازمانی جای پایی برای خود ایجاد کنند.

این گروه همچنین مدل‌های اخاذی تهاجمی‌تری را به نمایش گذاشته است:

  • اخاذی مضاعف از طریق سرقت داده‌ها و درخواست باج
  • اخاذی سه‌گانه شامل تهدید حملات انکار سرویس توزیع‌شده (DDoS)
  • تاکتیک‌های اخاذی چهارگانه که شامل تهدید به تماس با مشتریان، شرکا یا رقبا برای تشدید فشار بر قربانیان می‌شود

تا مارس ۲۰۲۶، آشوب (Chaos) ۳۶ قربانی را در پلتفرم نشت اطلاعات خود ثبت کرده بود که بیشتر سازمان‌ها در ایالات متحده قرار داشتند. بخش‌های ساخت و ساز، تولید و خدمات تجاری در میان صنایعی بودند که بیشترین هدف قرار گرفتند.

آناتومی نفوذ

در طول نفوذ مورد بررسی، مهاجمان مکالمات خارجی مایکروسافت تیمز را با کارمندان آغاز کردند تا اعتماد آنها را جلب کرده و جلسات اشتراک‌گذاری صفحه نمایش را تشویق کنند. سپس از حساب‌های کاربری آسیب‌دیده برای شناسایی، ماندگاری، جابجایی جانبی و استخراج داده‌ها استفاده شد.

مهاجمان هنگام اتصال به سیستم‌های قربانی، دستورات شناسایی را اجرا کردند، به فایل‌های مربوط به VPN دسترسی پیدا کردند و به کاربران دستور دادند تا به صورت دستی اعتبارنامه‌ها را در اسناد متنی ایجاد شده محلی وارد کنند. در چندین مورد، AnyDesk برای تقویت قابلیت‌های دسترسی از راه دور نصب شد.

عاملان تهدید علاوه بر این، از پروتکل دسکتاپ از راه دور (RDP) برای بازیابی یک فایل اجرایی به نام "ms_upd.exe" از آدرس سرور خارجی 172.86.126.208 با استفاده از ابزار curl استفاده کردند. پس از اجرا، بدافزار یک زنجیره آلودگی چند مرحله‌ای را آغاز کرد که برای استقرار اجزای مخرب اضافی و ایجاد ارتباطات مداوم فرمان و کنترل طراحی شده است.

زرادخانه بدافزار پشت این کمپین

زنجیره آلودگی شامل چندین مؤلفه بدافزار مجزا بود که برای حفظ پایداری و اجرای دستورات از راه دور با هم کار می‌کردند:

  • 'ms_upd.exe' (Stagecomp) اطلاعات سیستم را جمع‌آوری کرده و با یک سرور فرمان و کنترل ارتباط برقرار کرده تا فایل‌های مخرب ثانویه از جمله 'game.exe'، 'WebView2Loader.dll' و 'visualwincomp.txt' را دانلود کند.
  • «game.exe» (Darkcomp) به عنوان یک تروجان دسترسی از راه دور سفارشی عمل می‌کرد و خود را به عنوان یک برنامه‌ی قانونی Microsoft WebView2 بر اساس پروژه‌ی رسمی WebView2APISample جا می‌زد.
  • «WebView2Loader.dll» به عنوان یک وابستگی قانونی مورد نیاز برای عملکرد Microsoft Edge WebView2 عمل می‌کرد.
  • فایل 'visualwincomp.txt' حاوی داده‌های پیکربندی رمزگذاری‌شده‌ای بود که توسط این RAT برای شناسایی زیرساخت‌های فرمان و کنترل استفاده می‌شد.

    • این تروجان دسترسی از راه دور، پس از فعال شدن، هر ۶۰ ثانیه به‌طور مداوم با سرور فرمان خود ارتباط برقرار می‌کرد و به اپراتورها اجازه می‌داد اسکریپت‌های PowerShell را اجرا کنند، دستورات سیستمی را اجرا کنند، فایل‌ها را دستکاری کنند و جلسات خط فرمان تعاملی ایجاد کنند.

    شواهدی که این عملیات را به MuddyWater مرتبط می‌کند

    انتساب این بدافزار به MuddyWater با کشف یک گواهی امضای کد مرتبط با «Donald Gay» که برای امضای نمونه بدافزار «ms_upd.exe» استفاده شده بود، تقویت شد. همین گواهی قبلاً به بدافزار MuddyWater، از جمله یک نوع دانلودکننده CastleLoader معروف به Fakeset، مرتبط دانسته شده بود.

    محققان خاطرنشان کردند که این عملیات، همگرایی قابل توجهی را بین فعالیت‌های جاسوسی تحت حمایت دولت و روش‌های عملیاتی جرایم سایبری نشان داد. ادغام برندسازی باج‌افزار، مذاکرات اخاذی و چارچوب‌های بدافزار موجود در بازار، تلاش‌های انتساب را پیچیده کرده و توجه دفاعی را به سمت فعالیت‌های واکنش فوری باج‌افزار به جای مکانیسم‌های پایداری بلندمدت که از طریق ابزارهای دسترسی از راه دور ایجاد شده‌اند، منحرف کرده است.

    چرا این حمله برجسته شد؟

    یکی از غیرمعمول‌ترین جنبه‌های این کمپین، عدم وجود رمزگذاری گسترده فایل‌ها با وجود استفاده از مصنوعات باج‌افزار Chaos بود. این انحراف از رفتار استاندارد باج‌افزار، قویاً نشان می‌دهد که این مؤلفه باج‌افزار عمدتاً به عنوان استتار یا گمراه‌سازی عملیاتی عمل می‌کرده است، نه هدف اصلی ماموریت.

    این کمپین همچنین روند رو به رشدی را در میان بازیگران تهدید ایرانی برای ادغام ابزارهای جرایم سایبری در عملیات‌های تحت هدایت دولت برجسته می‌کند. با بهره‌گیری از زیرساخت‌های زیرزمینی موجود و اکوسیستم‌های بدافزار، گروه‌هایی مانند MuddyWater انعطاف‌پذیری عملیاتی بیشتری به دست می‌آورند، هزینه‌های توسعه داخلی را کاهش می‌دهند و تلاش‌های انتساب را برای مدافعان و تحلیلگران اطلاعاتی به طور قابل توجهی پیچیده می‌کنند.

    پرطرفدار

    پربیننده ترین

    بارگذاری...