رصد خبراء الأمن السيبراني نشاطًا جديدًا لمجموعة MuddyWater الإيرانية، حيث لجأت إلى أسلوب الهندسة الاجتماعية عبر منصة Microsoft Teams لاستهداف مؤسسات عالمية. المهاجمون تنكروا في صورة موظفي دعم فني لإقناع الضحايا بتنفيذ برمجية خبيثة تُعرف باسم Tsundere أو Dindoor، ما يفتح الباب أمام بناء شبكة بوت نت واسعة.
استغلال بيئة Deno لتشغيل الحمولة
بحسب شركة CyberProof، تميز هذا الهجوم باستخدام Deno، وهو بيئة تشغيل شرعية للـ JavaScript وTypeScript عادةً ما تُستخدم في تطوير التطبيقات الخلفية. المهاجمون استغلوا الملف التنفيذي deno.exe لتشغيل حمولة مشفرة ومعقدة بترميز Base64، أُطلق عليها اسم DINODANCE، مباشرة في الذاكرة، مما قلل من الآثار على القرص وصعّب عملية الكشف.
بمجرد فك التشفير، تبدأ البرمجية في إنشاء اتصال C2 مع خادم بعيد، وتقوم بتسريب بيانات أساسية عن الجهاز مثل اسم المستخدم، اسم المضيف، وتفاصيل نظام التشغيل.
دلالات على تطور أساليب الهجوم
هذا الأسلوب يعكس تطورًا في تكتيكات مجموعة MuddyWater، حيث لم تعد تعتمد فقط على رسائل البريد الإلكتروني الاحتيالية أو الملفات المرفقة، بل انتقلت إلى استغلال منصات التعاون المؤسسي مثل Microsoft Teams، التي غالبًا ما تُعتبر بيئة موثوقة داخل المؤسسات.
كما أن استخدام Deno لتشغيل حمولة خبيثة يوضح قدرة المهاجمين على استغلال أدوات شرعية لتجاوز أنظمة الحماية، وهو ما يزيد من صعوبة رصد الهجوم.
انعكاسات على المؤسسات العالمية
الهجوم يسلط الضوء على ضرورة تعزيز الوعي الأمني لدى الموظفين، خاصة في ما يتعلق بالهندسة الاجتماعية عبر منصات العمل التعاوني. المؤسسات مطالبة بتطبيق سياسات صارمة للتحقق من هوية فرق الدعم، ومراقبة الأنشطة غير الاعتيادية على منصات مثل Teams، إضافة إلى اعتماد حلول أمنية قادرة على رصد التنفيذ في الذاكرة.
الخبراء يحذرون من أن هذه الهجمات قد تكون مقدمة لحملات أوسع تستهدف البنى التحتية الحيوية عبر استغلال ثقة المستخدمين في أدوات العمل اليومية.
