جاسوسی در پوشش باج‌افزار؛ سوءاستفاده گروه «مودی واتر» از «مایکروسافت تیمز» برای نفوذ به سازمان‌ها

یافته‌های Rapid7: هکرهای وابسته به وزارت اطلاعات ایران با استفاده از تکنیک «پرچم جعلی»، سیستم‌های امنیتی را دور می‌زنند
پژوهشگران امنیتی در مه ۲۰۲۶ فاش کردند که گروه تهدید پیشرفته ایرانی موسوم به MuddyWater (شناخته شده با نام‌های Mango Sandstorm و Seedworm)، کارزار گسترده‌ای را برای سرقت اعتبارنامه‌ها و دستکاری احراز هویت دو مرحله‌ای آغاز کرده است. این گروه با استفاده از پوشش باج‌افزاری «Chaos»، تلاش می‌کند فعالیت‌های جاسوسی و استخراج داده‌های خود را در قالب حملات مجرمانه مالی پنهان نماید.

تکنیک «پرچم جعلی»؛ پنهان‌کاری تحت نام باج‌افزار Chaos
بررسی‌های پزشکی قانونی دیجیتال توسط تیم‌های واکنش به رخداد شرکت Rapid7 نشان داد که حملات اخیر، برخلاف ظاهر مجرمانه، اهداف دولتی را دنبال می‌کنند:

انحراف افکار عمومی: مهاجمان با استفاده از برند باج‌افزاری Chaos، تمرکز مدافعان را از هدف اصلی یعنی جاسوسی پایدار منحرف کرده‌اند.
اهداف عملیات: به‌جای رمزگذاری فایل‌ها برای اخاذی، مهاجمان بر جمع‌آوری اطلاعات کاربری، استخراج داده‌ها و ایجاد دسترسی پایدار بلندمدت متمرکز شده‌اند.
دامنه نفوذ: سازمان‌هایی در ایالات متحده، منطقه خاورمیانه و شمال آفریقا هدف اصلی این کارزار بوده‌اند.
مهندسی اجتماعی از طریق مایکروسافت تیمز (Microsoft teams)
مهاجمان از روش‌های نوآورانه‌ای برای دور زدن پروتکل‌های امنیتی استفاده کرده‌اند:

نفوذ اولیه: عملیات با ارسال درخواست‌های گفت‌وگوی خارجی ناخواسته در پلتفرم teams آغاز می‌شود.
کنترل دسکتاپ: پس از برقراری ارتباط، هکرها جلسات اشتراک‌گذاری صفحه نمایش را شروع کرده و به سیستم قربانی دسترسی مستقیم پیدا می‌کنند.
دستکاری MFA: در اقدامی بی‌سابقه، مهاجمان قربانیان را متقاعد کرده‌اند تا اطلاعات کاربری خود را در فایل‌های متنی وارد کنند و حتی دستگاه‌های تحت کنترل هکرها را به تنظیمات احراز هویت چندمرحله‌ای (MFA) خود اضافه نمایند.
تحلیل فنی بدافزار و زیرساخت‌ها
پس از سرقت موفق اطلاعات، مهاجمان مراحل بعدی نفوذ را به این شرح اجرا کردند:

نصب ابزارهای دسترسی: استفاده از ابزارهای قانونی مانند DWAgent و AnyDesk برای حفظ دسترسی دائمی به کنترل‌کننده‌های دامنه.
بدافزار سفارشی: نصب یک در پشتی (Backdoor) اصلی که خود را به‌جای برنامه قانونی Microsoft WebView2 جا می‌زد.
قابلیت‌های نفوذ: این بدافزار امکان اجرای دستورات PowerShell، بارگذاری و حذف فایل‌ها را به مهاجم می‌دهد.
سطح حرفه‌ای‌گری: علیرغم استفاده از رمزگذاری AES-256-GCM، باقی ماندن برخی رشته‌های متنی ساده نشان‌دهنده سطح پایین حرفه‌ای‌گری در توسعه بخش‌هایی از این بدافزار است.
ارتباط با وزارت اطلاعات رژیم ایران
پژوهشگران Rapid7 با استناد به گواهی‌های امضای کد و زیرساخت‌های ارتباطی، این عملیات را با اطمینان بالا به گروه MuddyWater نسبت داده‌اند. این گروه که به‌طور مستقیم با وزارت اطلاعات رژیم ایران مرتبط است، از این تاکتیک‌های انحرافی برای ایجاد دسترسی‌های بلندمدت جاسوسی در زیرساخت‌های حیاتی رقیبان خود استفاده می‌کند.