تم ربط المجموعة الإيرانية MuddyWater بحملة جديدة من الهجمات الإلكترونية التي تستخدم Microsoft Teams كنقطة دخول. يتظاهر المهاجمون بأنهم فريق الدعم الفني من Microsoft للتواصل مع ضحاياهم، طالبين الوصول عن بُعد أو تثبيت برامج ضارة. وبمجرد الدخول، يسرقون بيانات الاعتماد والمعلومات الحساسة، وينشرون برنامج فدية مزيف لصرف الانتباه.
تقنية الانتحال وأدوات الوصول عن بُعد 🛠️
يبدأ المهاجمون المحادثة في Teams متظاهرين بأنهم موظفو دعم فني، مدعين وجود مشكلات أمنية عاجلة. تحت هذا الذريعة، يطلبون من الضحية تثبيت أدوات شرعية مثل ScreenConnect أو AnyDesk. وبمجرد السيطرة عن بُعد، يستخرج المهاجمون بيانات الاعتماد المخزنة في النظام وبيانات التطبيقات المؤسسية. أخيرًا، ينشرون برنامج فدية لا يقوم بتشفير الملفات، بل يحاكي الهجوم فقط لإخفاء سرقة المعلومات الحقيقية.
برنامج الفدية المزيف: كلاسيكي لإلقاء اللوم على آخر 😅
أفضل ما في الأمر أنه بعد سرقة بيانات اعتمادك وبياناتك، يتفضل المهاجمون بترك برنامج فدية مزيف لتعتقد أنه هجوم عام وليس اختراقًا موجهًا. الأمر أشبه بدخول لص إلى منزلك، وسرقة الخزنة، وقبل مغادرته يترك ملاحظة تقول الجار هو الفاعل. لحسن الحظ أنهم على الأقل تكبدوا عناء محاكاة التشفير، على الرغم من أن ملفاتك سليمة وحسابك في Teams معروض للبيع بالفعل في dark web.