جاسوسی در پوشش باج‌افزار؛ سوءاستفاده گروه «مودی واتر» از «مایکروسافت تیمز» برای نفوذ به سازمانها

ارگانهای رژیم
1405/02/17

هکرهای وابسته به وزارت اطلاعات ایران با استفاده از تکنیک «پرچم جعلی»، سیستم‌های امنیتی را دور می‌زنند

پژوهشگران امنیتی در مه ۲۰۲۶ فاش کردند که گروه تهدید پیشرفته ایرانی موسوم به MuddyWater (شناخته شده با نام‌های Mango Sandstorm و Seedworm)، کارزار گسترده‌یی را برای سرقت اعتبارنامه‌ها و دستکاری احراز هویت دو مرحله‌ای آغاز کرده است. این گروه با استفاده از پوشش باج‌افزاری «Chaos»، تلاش می‌کند فعالیت‌های جاسوسی و استخراج داده‌های خود را در قالب حملات مجرمانه مالی پنهان نماید.

تکنیک «پرچم جعلی»؛ پنهان‌کاری تحت نام باج‌افزار Chaos

بررسی‌های پزشکی قانونی دیجیتال توسط تیم‌های واکنش به رخداد شرکت Rapid۷ نشان داد که حملات اخیر، برخلاف ظاهر مجرمانه، اهداف دولتی را دنبال می‌کنند:

انحراف افکار عمومی: مهاجمان با استفاده از برند باج‌افزاری Chaos، تمرکز مدافعان را از هدف اصلی یعنی جاسوسی پایدار منحرف کرده‌اند.

اهداف عملیات: به‌جای رمزگذاری فایل‌ها برای اخاذی، مهاجمان بر جمع‌آوری اطلاعات کاربری، استخراج داده‌ها و ایجاد دسترسی پایدار بلندمدت متمرکز شده‌اند.

دامنه نفوذ: سازمانهایی در ایالات متحده، منطقه خاورمیانه و شمال آفریقا هدف اصلی این کارزار بوده‌اند.

مهندسی اجتماعی از طریق مایکروسافت تیمز (Microsoft teams)

مهاجمان از روش‌های نوآورانه‌ای برای دور زدن پروتکل‌های امنیتی استفاده کرده‌اند:

نفوذ اولیه: عملیات با ارسال درخواست‌های گفتگوی خارجی ناخواسته در پلتفرم teams آغاز می‌شود.

کنترل دسکتاپ: پس از برقراری ارتباط، هکرها جلسات اشتراک‌گذاری صفحه نمایش را شروع کرده و به سیستم قربانی دسترسی مستقیم پیدا می‌کنند.

دستکاری MFA: در اقدامی بی‌سابقه، مهاجمان قربانیان را متقاعد کرده‌اند تا اطلاعات کاربری خود را در فایل‌های متنی وارد کنند و حتی دستگاههای تحت کنترل هکرها را به تنظیمات احراز هویت چندمرحله‌ای (MFA) خود اضافه نمایند.

تحلیل فنی بدافزار و زیرساخت‌ها

پس از سرقت موفق اطلاعات، مهاجمان مراحل بعدی نفوذ را به این شرح اجرا کردند:

نصب ابزارهای دسترسی: استفاده از ابزارهای قانونی مانند DWAgent و AnyDesk برای حفظ دسترسی دائمی به کنترل‌کننده‌های دامنه.

بدافزار سفارشی: نصب یک در پشتی (Backdoor) اصلی که خود را به‌جای برنامه قانونی Microsoft WebView۲ جا می‌زد.

قابلیت‌های نفوذ: این بدافزار امکان اجرای دستورات PowerShell، بارگذاری و حذف فایل‌ها را به مهاجم می‌دهد.

سطح حرفه‌یی‌گری: به‌رغم استفاده از رمزگذاری AES-۲۵۶-GCM، باقی ماندن برخی رشته‌های متنی ساده نشان‌دهنده سطح پایین حرفه‌یی‌گری در توسعه بخش‌هایی از این بدافزار است.

ارتباط با وزارت اطلاعات رژیم ایران

پژوهشگران Rapid۷ با استناد به گواهی‌های امضای کد و زیرساخت‌های ارتباطی، این عملیات را با اطمینان بالا به گروه MuddyWater نسبت داده‌اند. این گروه که به‌طور مستقیم با وزارت اطلاعات رژیم ایران مرتبط است، از این تاکتیک‌های انحرافی برای ایجاد دسترسی‌های بلندمدت جاسوسی در زیرساخت‌های حیاتی رقیبان خود استفاده می‌کند.

خبرها را از تلگرام مجاهد دنبال کنید

اشتراک گذاری:

										
											<iframe style="border:none" width="100%" scrolling="no" src="https://www.mojahedin.org/if/5da3effc-ac85-44a4-89bb-6709614944fa"></iframe>