كشف تقرير صادر عن شركة CloudSEK عن حملة تصيد موجهة تقف خلفها مجموعة MuddyWater. تميزت الحملة الجديدة بالابتعاد عن الأدوات التقليدية المعتمدة على السكربتات، والانتقال نحو استخدام برمجيات خبيثة مبنية بلغة Rust، أطلق عليها اسم RustyWater، مستهدفة قطاعات حساسة تشمل الدبلوماسية، والاتصالات، والمالية، والقطاع البحري.
يمثل هذا التحول نقطة انعطاف تقنية للمجموعة التي عرفت طويلاً باعتمادها على PowerShell وVBScript، حيث يوفر الانتقال إلى لغات مجمعة، مثل Rust، قدرة أعلى على التخفي، ومقاومة الهندسة العكسية، وتجاوز حلول الحماية التقليدية.
من هي MuddyWater؟
تصنف MuddyWater، المعروفة أيضاً بـ MERCURY أو Mango Sandstorm، ضمن إطار التهديدات المستمرة المتقدمة (APT)، وتنسب تقارير استخباراتية غربية، بما فيها تقارير وكالة الأمن السيبراني الأمريكية (CISA)، نشاطها إلى وزارة الاستخبارات والأمن الإيرانية. ومنذ ظهورها في 2017، ركزت المجموعة على التجسس السيبراني وسرقة البيانات، مستخدمة أدوات مفتوحة المصدر وثغرات معروفة لترسيخ وجودها داخل الشبكات الحكومية والخاصة.
نقطة الاختراق: الهندسة الاجتماعية كبوابة عبور
رغم التطور التقني في البرمجيات الخبيثة، لا تزال آلية التوصيل تعتمد على استغلال العامل البشري. تبدأ سلسلة الهجوم برسالة بريد إلكتروني مصممة بعناية لتبدو كأنها صادرة عن جهة اتصالات رسمية، تحمل عنواناً احترافياً، ومرفقاً بصيغة Word باسم Cybersecurity.doc.
تعتمد هذه المرحلة على خداع الضحية لتمكين وحدات الماكرو، ما يطلق العنان للمرحلة الأولى من التنفيذ. ويشير استخدام حسابات بريد مسربة وبيانات اعتماد حقيقية في هذه الحملة إلى جهد استطلاعي مسبق لزيادة مصداقية الرسائل الخبيثة.
التشريح التقني لسلسلة العدوى
المرحلة الأولى: الماكرو والتمويه عبر ProgramData
بمجرد تمكين الماكرو، ينفذ كود VBA عملية استخراج لبيانات مشفرة بالنظام الست عشري مخبأة داخل نماذج المستند. يتم تحويل هذه البيانات وكتابتها على القرص في مسار غير مثير للشكوك:
C:\ProgramData\CertificationKit.ini
يحمل الملف امتداد .ini (ملف إعدادات)، لكنه في حقيقته ملف تنفيذي (PE). يقوم الماكرو لاحقاً ببناء كائن WScript.Shell لاستدعاء موجه الأوامر وتشغيل هذا الملف، متجاوزاً بذلك بعض قواعد الكشف التي تركز على الامتدادات التنفيذية الصريحة مثل .exe.
المرحلة الثانية: RustyWater
يولد الملف المستخرج اسم مموه (reddit.exe) ويحمل أيقونة شركة Cloudflare لإضفاء الشرعية، لكن التحليل الداخلي يكشف أنه برمجية خبيثة مكتوبة بلغة Rust. وجود هذه اللغة يمنح المهاجمين ميزتين:
- صعوبة التحليل: ملفات Rust الثنائية تكون أكبر حجماً وأكثر تعقيداً عند محاولة تفكيكها مقارنة ببرمجيات C++ أو السكربتات.
- تجاوز التواقيع: نظراً لحداثة استخدام Rust في البرمجيات الخبيثة نسبياً، قد لا تملك بعض محركات الحماية تواقيع جاهزة لاكتشافها فوراً.
آليات الدفاع
تظهر برمجية RustyWater تطوراً ملحوظاً في تقنيات المراوغة والثبات:
- مقاومة التحليل (Anti-Analysis): تستخدم البرمجية معالج الاستثناءات الموجه (VEH) لرصد محاولات التصحيح. كما تقوم بمسح بيئة النظام بحثاً عن ملفات وعمليات تابعة لأكثر من 25 حلاً أمنياً (EDR/Antivirus) لتقييم المخاطر قبل بدء النشاط الضار.
- الثبات (Persistence): لضمان استمرار العمل بعد إعادة التشغيل، تعدل البرمجية سجل النظام بإضافة مفتاح في مسار Run للمستخدم الحالي، يوجه النظام لتشغيل الملف الموجود في ProgramData. الاعتماد على مفاتيح المستخدم الحالي (HKCU) بدلاً من النظام (HKLM) يقلل من احتمالية إثارة تنبيهات صلاحيات المسؤول.
- حقن العمليات (Process Injection): لا تكتفي البرمجية بالعمل كعملية مستقلة، بل تحقن شيفرتها الخبيثة داخل عملية النظام الشرعية explorer.exe باستخدام دوال VirtualAllocEx و WriteProcessMemory، ما يجعل نشاطها الشبكي يبدو وكأنه صادر عن متصفح الملفات الرسمي.
- القيادة والسيطرة (C2): يتم الاتصال بالخادم الخبيث عبر بروتوكول HTTP باستخدام مكتبة reqwest الخاصة بـ Rust. ولتفادي الرصد، تغلف البيانات بطبقات متعددة من التشفير والترميز (JSON، ثم Base64، ثم تشفير XOR)، مع استخدام تقنية التذبذب الزمني (Jitter) لجعل فترات الاتصال عشوائية وغير منتظمة.
تطور مستمر لا قفزة عشوائية
لا يمكن قراءة ظهور RustyWater بمعزل عن سياق التحركات الأخيرة للمجموعة. فقد رصدت تقارير سابقة نشاطاً متزايداً لـ MuddyWater يستهدف البنى التحتية في المنطقة. يؤكد هذا التحول نحو لغات برمجية حديثة أن المجموعة في حالة تطوير مستمر لأدواتها للحفاظ على فعالية عملياتها الاستخباراتية طويلة الأمد.
توصيات للمدراء التقنيين وفرق الدفاع
بناءً على مؤشرات الاختراق (IoCs) والتحليل السلوكي، يتطلب التصدي لهذا النوع من التهديدات استراتيجية دفاعية متعددة الطبقات:
- تحييد الماكرو: فرض سياسات صارمة تمنع تشغيل وحدات الماكرو القادمة من الإنترنت افتراضياً، وحصر الاستثناءات في نطاق ضيق جداً ومراقب.
- الرقابة السلوكية (Behavioral Monitoring): التركيز على رصد السلوكيات الشاذة بدلاً من مجرد التواقيع، مثل مراقبة العمليات التي تنشئ ملفات تنفيذية في مسارات مثل ProgramData، أو العمليات التي تجري اتصالات شبكية غير اعتيادية.
- تدقيق سجل النظام: تفعيل تنبيهات فورية عند حدوث أي تعديلات على مفاتيح Run و RunOnce في سجل النظام، خاصة تلك التي تشير إلى مسارات ملفات مؤقتة أو غير معتادة.
- تحليل حركة الشبكة: البحث عن أنماط الاتصال المتكررة مع خوادم غير معروفة، حتى وإن كانت مشفرة، والتركيز على الاتصالات التي تظهر سلوك غير المنتظم.
