فخ Teams لـ MuddyWater: الفدية الإيرانية بالراية المزيفة 202

نُشر في مايو 11, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

استخدمت MuddyWater هندسة اجتماعية عبر Teams وعلامة Chaos RaaS لإخفاء تجسس الدولة الإيرانية في هيئة فدية — وثّق Rapid7 الحملة في مايو 2026 بعد أن ادّعت Chaos 36 ضحية منذ مطلع 2026.

الخلاصة: تقييد محادثات Teams الخارجية للنطاقات المعتمدة، وإضافة نقطة تحقق كشف الراية المزيفة (التحقق من التشفير قبل التفاوض)، ونشر MFA مقاوم للتصيد على جميع نقاط الوصول عن بُعد.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الصلة بالجزائر
متوسطة
▾

المؤسسات الجزائرية التي تستخدم Teams والقطاع الطاقوي والمتعاقدون الحكوميون يواجهون ناقل الهندسة الاجتماعية ذاته

البنية التحتية جاهزة؟
جزئيًا
▾

سياسات الوصول الخارجي في Teams لا تُراجع على نطاق واسع في المؤسسات الصغيرة والمتوسطة الجزائرية

المهارات متوفرة؟
جزئيًا
▾

لدى DZ-CERT قدرة استخباراتية؛ قدرة الاستجابة للحوادث في القطاع الخاص محدودة

الجدول الزمني للتحرك
فوري
▾

مراجعة سياسات Teams تغيير إعدادات مجاني يستغرق 30 دقيقة

أصحاب المصلحة الرئيسيون
CISO المؤسسات، فرق أمن تقنية المعلومات، مديرو Microsoft Teams

نوع القرار
تكتيكي
▾

Assessment: تكتيكي. Review the full article for detailed context and recommendations.

خلاصة سريعة: أي مؤسسة تستخدم Microsoft Teams بالإعدادات الافتراضية للوصول الخارجي تُشغّل ناقل الوصول الأولي المفضّل لـ MuddyWater. قيّدوا المحادثات الخارجية للنطاقات المعتمدة، ونبّهوا الموظفين بأن الدعم التقني لا يتواصل أبدًا عبر Teams الخارجي، وأضيفوا نقطة كشف الراية المزيفة إلى دليل الفدية.

ما الذي فعلته MuddyWater فعليًا في 2026

تبدأ سلسلة الهجوم التي وثّقتها Rapid7 في مايو 2026 بطلب محادثة خارجية في Microsoft Teams. يتصل مهاجم منتحلًا هوية تقني دعم تقنية المعلومات بموظفي المنظمات المستهدفة — وتضم أساسًا شركات أمريكية في قطاعات البناء والتصنيع وخدمات الأعمال — طالبًا فتح جلسة مشاركة الشاشة. تقبل الضحية، إذ يبدو المشهد جلسة دعم تقني مألوفة. خلال الجلسة، يطلب المهاجم من الضحية كتابة بيانات اعتمادها في ملف نصي — فيحصد بياناتها مباشرة — ثم يثبّت AnyDesk للوصول الدائم عن بُعد إلى جانب DWAgent. لا تستلزم الهندسة الاجتماعية في مرحلتها الأولى أي برمجيات ضارة: هي خداع بشري بالكامل عبر منصة تواصل مشروعة.

في المرحلة الثانية، تُنشر سلسلة برمجيات خبيثة مخصصة: ms_upd.exe (Stagecomp) الذي يجمع معلومات النظام ويتصل بخادم القيادة والتحكم؛ و game.exe (Darkcomp)، حصان طروادة للوصول عن بُعد متنكّرًا في هيئة تطبيق Microsoft WebView2 مشروع يُلقي استفسارات كل 60 ثانية. يربط شهادة توقيع الكود المنسوبة إلى “Donald Gay” — المرتبطة سابقًا ببرمجيات CastleLoader و Fakeset لـ MuddyWater — السلسلةَ بالجهة الفاعلة.

تظهر عناصر Chaos ransomware في الهجوم لكنها تؤدي وظيفة مختلفة جذريًا عن حملات الفدية ذات الدوافع المالية. لا يجري أي تشفير للملفات. تعمل عناصر Chaos كتمويه: عند الكشف، يبدو الهجوم مدفوعًا ماليًا لا بدوافع دولة. كانت مجموعة Chaos RaaS قد ادعت 36 ضحية بنهاية مارس 2026 قبل أن تستحوذ MuddyWater على علامتها التجارية. الراية المزيفة استراتيجية لا تشغيلية — تستهدف المحقق لا ملفات الضحية.

الإشارات الثلاث المخفية في تصميم الهجوم

الإشارة 1: المنصات المشروعة باتت ناقل الوصول الأولي المفضّل

يُؤكّد هجوم Teams لـ MuddyWater تحولًا بنيويًا في منهجية الوصول الأولي لـ APT. يسمح Microsoft Teams بشكل افتراضي لأي مستأجر خارجي بالاتحاد بمحادثة موظفيك. فرق الأمن التي لم تُراجع سياسات التواصل الخارجي في Teams تُشغّل قناة استقبال مفتوحة لا تستلزم أي ثغرة Zero-day — فقط مصداقية اجتماعية.

الإشارة 2: علامة RaaS التجارية كراية مزيفة تُغيّر جدول الإسناد في اللحظات الحرجة

الابتكار في عملية MuddyWater ليس تقنيًا — بل توثيقي. بنشر عناصر Chaos RaaS، تضمن MuddyWater أن يتركز ردّ الحوادث في أول 24-72 ساعة على إجراءات احتواء الفدية: عزل الأنظمة والتفاوض على الفدية. خلال تلك الساعات، يكتمل الاستخراج الفعلي للبيانات وتأسيس الاستمرارية دون إزعاج. في أكتوبر 2025، ارتبطت MuddyWater بفدية Qilin في هجوم منفصل. دليل الراية المزيفة نمط متكرر لا تجربة فريدة.

الإشارة 3: النشاط الإيراني المتزامن يوسّع سياق الاستهداف

يُؤطّر تقرير Rapid7 حملة Teams لـ MuddyWater ضمن نمط أشمل من النشاط الدولاتي الإيراني في مطلع 2026: استهداف متزامن لوزارة العدل في سلطنة عمان وهجوم مجموعة Handala المؤيدة لإيران على ميناء الفجيرة في الإمارات. فرق أمن المؤسسات في قطاعات مرتبطة بالحكومات أو البنية التحتية في منطقة الشرق الأوسط — الطاقة والخدمات اللوجستية والخدمات المالية — يجب أن تتعامل مع حملة MuddyWater Teams كمؤشر على البيئة التشغيلية لقطاعها.

ما يجب أن تفعله فرق أمن المؤسسات

1. مراجعة سياسات التواصل الخارجي في Microsoft Teams وتقييدها فورًا

يسمح الإعداد الافتراضي لـ Microsoft Teams لأي مستأجر خارجي بالاتحاد ببدء محادثات مع موظفيك. يجب على فرق الأمن فورًا: تعطيل الوصول الخارجي للمستأجرين غير الموجودين في قائمة مسموح بها، وتفعيل بنرات تحذير “مرسل خارجي” في Teams، وتكوين سياسات الوصول المشروط التي تستلزم MFA مقوّيًا للجلسات المُبدأة عبر محادثة Teams الخارجية. أبلغوا جميع الموظفين أن الدعم التقني لن يتواصل أبدًا عبر طلبات محادثة Teams الخارجية.

2. التعامل مع نشر أدوات الإدارة عن بُعد كمؤشر اختراق عالي الثقة

DWAgent و AnyDesk أدوات مشروعة. لكنها أيضًا آليات الاستمرارية الأكثر شيوعًا التي ينشرها APT وجهات الفدية. يجب أن تُطلق منصات EDR تنبيهًا عند تثبيت أي أداة إدارة عن بُعد جديدة — بصرف النظر عن مشروعيتها — خارج نافذة تغيير معتمدة. يجب حظر تثبيتات AnyDesk على نقاط النهاية التي تُدار بالفعل عبر حل مؤسسي.

3. دمج نقطة تحقق لكشف الراية المزيفة في دليل الاستجابة لبرامج الفدية

يجب أن يتضمن كل دليل استجابة لبرامج الفدية نقطة تحقق إلزامية قبل الدخول في التفاوض على الفدية: التحقق من حدوث تشفير الملفات فعليًا. في حالة MuddyWater، كان وجود عناصر Chaos سيُطلق استجابة فدية تقليدية في أي مؤسسة دون هذه الخطوة. يجب أن تسأل نقطة التحقق: هل الملفات مشفرة فعلًا أو يتعذر الوصول إليها؟ إن لم يكن ثمة تشفير، تصعيد فوري لفريق استخبارات التهديدات.

4. نشر مقاومة إجهاد MFA عبر جميع نقاط الوصول عن بُعد

يعكس حصاد بيانات الاعتماد لـ MuddyWater عبر مشاركة الشاشة نمطًا أشمل: اختراق بيانات الاعتماد عبر الهندسة الاجتماعية. الإجراء المضاد هو MFA مقاوم للتصيد: مفاتيح FIDO2 المادية أو المصادقة بـ Passkey. الهجرة إلى MFA المقاوم للتصيد عبر جميع نقاط الوصول الخارجية يجب أن تُعامل كخط أساسي للامتثال في 2026.

5. الاشتراك في خلاصات استخبارات التهديدات التي تتتبع نشاط APT الإيراني تحديدًا

MuddyWater جهة فاعلة نشطة منذ 2017. المؤسسات المشتركة في خلاصة استخبارات تهديدات تجارية تشمل تغطية APT الإيرانية المُعيَّنة وفق MITRE ATT&CK ستتلقى تحديثات مؤشرات الاختراق الخاصة بـ MuddyWater في غضون ساعات من الكشف العام. شهادة توقيع الكود “Donald Gay” ومفاتيح RSA لسلسلة Stagecomp/Darkcomp مؤشرات قابلة للمشاركة يمكن تشغيلها في قواعد كشف SIEM.

سؤال الإسناد في مواجهة التهديد

تكشف حملة MuddyWater بالراية المزيفة عن مشكلة بنيوية في تنظيم فرق الأمن: الاستجابة للحوادث واستخبارات التهديدات كثيرًا ما تكونان وظيفتين منفصلتين بمسارات تصعيد مختلفة. الإصلاح البنيوي هو اشتراط استشارة استخبارات التهديدات كخطوة تصعيد إلزامية في كل استجابة لفدية قبل أن تتجاوز المؤسسة إلى التفاوض على الفدية. مراجعة من 30 دقيقة تسأل: “هل يتطابق هذا مع نمط APT معروف؟” تُكلّف أقل بكثير من وقت الدواম الذي صُمّمت راية MuddyWater المزيفة لشرائه.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

كيف يختلف استخدام MuddyWater لـ Chaos RaaS عن هجوم Chaos حقيقي؟

في هجوم Chaos حقيقي، تُشفَّر الملفات والفدية هي الهدف الأساسي. في عملية MuddyWater بالراية المزيفة، لا تُشفَّر ملفات — عناصر Chaos موجودة لتضليل المحققين. غياب التشفير هو المُمَيِّز الجنائي الرئيسي، وهو سبب كون نقطة تحقق كشف الراية المزيفة أعلى رافعة يمكن إضافتها لأي دليل استجابة.

لماذا يستهدف MuddyWater Microsoft Teams تحديدًا لا البريد الإلكتروني؟

نضجت دفاعات التصيد عبر البريد الإلكتروني بصورة ملحوظة. يُعامَل Teams كأداة تعاون لا كناقل تصيد من قِبَل معظم أطر الأمن المؤسسي، وتفتقر إلى مستوى الفحص والتصفية المطبَّق على البريد الإلكتروني. كما تبدو محادثات Teams أكثر تفاعلية وفورية، مما يُقلّص التوقف النفسي الذي يُتيح للأهداف تقييم رسائل البريد المشبوهة.

ما تعيين MITRE ATT&CK لحملة Teams لـ MuddyWater؟

تُعيَّن الحملة لتقنيات ATT&CK متعددة: T1566.004 (التصيد عبر الخدمة)، T1219 (أدوات الوصول عن بُعد)، T1059 (مُفسِّر الأوامر)، T1071 (بروتوكول طبقة التطبيق للقيادة والتحكم)، T1078 (الحسابات الصحيحة)، و T1036 (التمويه) لنشر الفدية المزيفة.