ماديووتر يستخدم تحميل جانبي لمكتبات الارتباط الديناميكي ضد تسعة بلدان

تم اكتشاف مجموعة التجسس MuddyWater في حملة تخترق أنظمة الحكومات والقوات العسكرية والاتصالات في تسعة بلدان في الشرق الأوسط وآسيا وأوروبا. التقنية المستخدمة هي تحميل DLL جانبيًا (DLL side-loading)، حيث تقوم ملفات ويندوز الشرعية بتحميل مكتبات ضارة لسرقة المعلومات والحفاظ على الوصول المستمر. يُوصى بمراقبة بدء العمليات غير المصرح بها.

ملف ويندوز قابل للتنفيذ شرعي مع ملف DLL ضار يتم حقنه عبر تقنية التحميل الجانبي، إفراغ العملية (process hollowing) يظهر في خريطة الذاكرة، اتصالات شبكية تمتد إلى أعلام تسعة بلدان عبر الشرق الأوسط وآسيا وأوروبا، صور ظلية لمباني حكومية، أطباق أقمار صناعية عسكرية، أيقونات أبراج اتصالات مخترقة، لوحة مراقبة إنذار أحمر تكتشف بدء عمليات غير مصرح بها، رسم توضيحي تقني للأمن السيبراني واقعي للغاية، لوحة ألوان زرقاء داكنة وحمراء، خطوط تهديد متوهجة تربط المكونات، هندسة نظام فائقة التفاصيل، إضاءة درامية سينمائية، نمط عرض هندسي

كيف يعمل التحميل الجانبي لـ DLL في الهجوم 🕵️

تستغل MuddyWater ملفات ويندوز الثنائية الموقعة التي تقوم بتحميل مكتبات DLL بطريقة غير آمنة. يضعون مكتبة DLL ضارة بالاسم المتوقع في دليل التنفيذ، وتقوم العملية الشرعية بتحميلها دون شك. بمجرد الدخول، ينشرون أدوات مثل ScreenConnect أو أبواب خلفية مخصصة لاستخراج البيانات. يتم تحقيق الاستمرارية من خلال المهام المجدولة أو التعديلات في السجل. تشمل القطاعات المتضررة الدفاع والاتصالات.

ويندوز: الشريك المثالي (دون قصد) 🤦

اتضح أن أداة مايكروسوفت نفسها هي التي تفتح الباب. لا يحتاج المهاجمون إلى استغلالات معقدة: فقط ملف قابل للتنفيذ موقع ومكتبة DLL معاد تسميتها. الأمر يشبه أن يسمح لك حارس المبنى بالدخول لأنه يرتدي الزي الرسمي الصحيح، حتى لو كانت البطاقة مزيفة. في هذه الأثناء، تقوم فرق تكنولوجيا المعلومات بمراجعة السجلات بحثًا عن شيء ليس عملية ويندوز عادية. سخرية النظام.