تم ربط المجموعة الإيرانية MuddyWater بحملة جديدة من الهجمات الإلكترونية التي تستخدم Microsoft Teams كنقطة دخول. يتظاهر المهاجمون بأنهم دعم فني من Microsoft للاتصال بضحاياهم، طالبين الوصول عن بُعد أو تثبيت برامج ضارة. وبمجرد الدخول، يسرقون بيانات الاعتماد والبيانات الحساسة، وينشرون برنامج فدية مزيفًا لصرف الانتباه.
تقنية الانتحال وأدوات الوصول عن بُعد 🛠️
يبدأ المهاجمون المحادثة في Teams متظاهرين بأنهم موظفو دعم فني، مدعين وجود مشاكل أمنية عاجلة. تحت هذا الذريعة، يطلبون من الضحية تثبيت أدوات شرعية مثل ScreenConnect أو AnyDesk. وبمجرد الحصول على التحكم عن بُعد، يستخرج المهاجمون بيانات الاعتماد المخزنة في النظام وبيانات التطبيقات المؤسسية. وأخيرًا، ينشرون برنامج فدية لا يقوم بتشفير الملفات، بل يحاكي الهجوم فقط لإخفاء سرقة المعلومات الحقيقية.
برنامج الفدية المزيف: كلاسيكي لإلقاء اللوم على آخر 😅
أفضل ما في الأمر أنه بعد سرقة بيانات الاعتماد والبيانات الخاصة بك، يتفضل المهاجمون بترك برنامج فدية مزيف لتعتقد أنه هجوم عام وليس اختراقًا موجهًا. الأمر أشبه بلص يدخل منزلك، ويأخذ الخزنة، وقبل المغادرة يترك ملاحظة تقول الجار هو الفاعل. لحسن الحظ أنهم على الأقل تكبدوا عناء محاكاة التشفير، على الرغم من أن ملفاتك سليمة وحسابك على Teams معروض للبيع بالفعل على الويب المظلم.