يواصل ممثل التهديد الإيراني المعروف باسم MuddyWater تقليده الذي تم اختباره عبر الزمن بالاعتماد على أدوات الإدارة عن بعد المشروعة للسيطرة على الأنظمة المستهدفة.
بينما استخدمت مجموعة الدول القومية سابقًا ScreenConnect و RemoteUtilities و Syncro ، كشف تحليل جديد من Group-IB عن استخدام الخصم لبرنامج SimpleHelp للدعم عن بُعد في يونيو 2022.
MuddyWater ، نشط منذ عام 2017 على الأقل ، تم تقييمه كعنصر ثانوي داخل وزارة الاستخبارات والأمن الإيرانية (MOIS). تشمل بعض الأهداف الرئيسية تركيا وباكستان والإمارات العربية المتحدة والعراق وإسرائيل والمملكة العربية السعودية والأردن والولايات المتحدة وأذربيجان وأفغانستان.
قال نيكيتا روستوفتسيف ، كبير محللي التهديدات في Group-IB ، "يستخدم MuddyWater SimpleHelp ، وهي أداة شرعية للتحكم في الجهاز عن بعد وإدارته ، لضمان استمرار وجود أجهزة الضحايا".
"SimpleHelp لم يتم اختراقها ويتم استخدامها على النحو المنشود. وجد ممثلو التهديد طريقة لتنزيل الأداة من الموقع الرسمي واستخدامها في هجماتهم."
طريقة التوزيع الدقيقة المستخدمة لإسقاط عينات SimpleHelp غير واضحة حاليًا ، على الرغم من أنه من المعروف أن المجموعة ترسل رسائل تصيد احتيالي تحمل روابط ضارة من صناديق بريد الشركة التي تم اختراقها بالفعل.
تم تأكيد النتائج التي توصلت إليها Group-IB من قبل شركة الأمن السيبراني السلوفاكية ESET في وقت سابق من هذا الشهر ، والتي توضح بالتفصيل هجمات MuddyWater في مصر والمملكة العربية السعودية التي استلزم استخدام SimpleHelp لنشر أداة Ligolo للنفق العكسي وجهاز حصاد معتمد يُطلق عليه MKL64.
كما قالت الشركة التي تتخذ من سنغافورة مقراً لها إنها كانت قادرة على تحديد البنية التحتية غير المعروفة حتى الآن التي تديرها المجموعة بالإضافة إلى برنامج PowerShell النصي القادر على تلقي أوامر من خادم بعيد ، يتم إرسال نتائجها مرة أخرى إلى الخادم.
يأتي هذا الكشف بعد أسابيع من تفصيل مايكروسوفت لطريقة عمل المجموعة في تنفيذ هجمات مدمرة على البيئات الهجينة تحت ستار عملية الفدية.