09:52 . الإمارات تعلن القبض على قتلة الحاخام الإسرائيلي في دبي... المزيد |
09:04 . صلاح يقود ليفربول للفوز على ساوثمبتون في الدوري الإنجليزي... المزيد |
08:45 . قدم شكره لأبوظبي.. نتنياهو يتوعد قتلة الحاخام "تسفي كوغان"... المزيد |
08:25 . جيش الاحتلال يعلن إصابة 11 عسكريا في غزة ولبنان خلال 24 ساعة... المزيد |
07:28 . الحكومة تصدر مرسوماً اتحادياً لتمكين قطاع الفنون ودعم المؤسسات الفنية... المزيد |
07:14 . تعليقاً على مقتل الحاخام الإسرائيلي.. قرقاش: ستبقى الإمارات دار الأمان وواحة الاستقرار... المزيد |
05:48 . الاحتلال يحذر الإسرائيليين في الإمارات عقب مقتل الحاخام "تسفي كوغان"... المزيد |
12:42 . تقرير: أبوظبي تخفي 25 معتقلا قسريا رغم انتهاء محكومياتهم وتمنع التواصل مع ذويهم... المزيد |
11:45 . الإمارات ترحب باعتماد الأمم المتحدة قراراً يمنع الجرائم ضد الإنسانية... المزيد |
11:34 . العثور على جثة الحاخام الإسرائيلي المختفي في دبي... المزيد |
11:33 . كيف تفاعل رواد التواصل مع حادثة اختفاء حاخام في دبي؟... المزيد |
11:32 . مقتل شخص بمحيط سفارة الاحتلال الإسرائيلي بعمّان بعد عملية إطلاق نار... المزيد |
11:14 . برشلونة يفرط في التقدم وينقاد للتعادل مع سيلتا فيغو بالدوري الإسباني... المزيد |
11:05 . جيش الاحتلال الإسرائيلي ينذر بإخلاء خمس قرى جنوب لبنان تمهيداً لقصفها... المزيد |
10:58 . سلاح الجو الأمريكي يرصد مسيرات مجهولة فوق ثلاث قواعد جوية في بريطانيا... المزيد |
10:50 . قمة كوب29 تتوصل إلى اتفاق بقيمة 300 مليار دولار لتمويل المناخ... المزيد |
كشف تقرير لموقع "candid.technology" الهندي المتخصص في التكنولوجيا، اليوم الثلاثاء، عن قيام قراصنة إيرانيين بعملية تجسس إلكتروني واسعة النطاق تستهدف صناعات الفضاء والدفاع والطيران في عدة دول بينها الإمارات؛ من خلال مخطط يُعرف باسم حملة "وظيفة الأحلام".
وأوضح الموقع أن الحملة تقوم بها مجموعة تهديد إيرانية متقدمة تسمى "TA455" وتتبع مجموعة "Charming Kitten" سيئة السمعة (المعروفة أيضًا باسم APT35 وSmoke Sandstorm)، وتستخدم الحملة تكتيكات هندسية اجتماعية متطورة، حيث تتظاهر بأنها شركات توظيف لجذب أهداف عالية القيمة.
وتهاجم المجموعة مجال صناعات الفضاء والطيران والدفاع في الإمارات "إسرائيل" وتركيا وألبانيا.
وبحسب الموقع، فإن طريقة عمل الحملة تتضمن إنشاء ملفات تعريف وهمية لشركات التوظيف على LinkedIn ومواقع الوظائف، وتقديم وظائف مرموقة في قطاعي الفضاء والدفاع لجذب الضحايا المحتملين. وبمجرد اهتمام الضحية، يتم خداعه لتنزيل ملفات تحتوي على برنامج SnailResin الخبيث، والذي يمنح المهاجمين إمكانية الوصول إلى أنظمتهم.
باستخدام تقنية التحميل الجانبي لـ DLL، يمكن للمجموعة الإيرانية المهاجمة تنفيذ تعليمات برمجية ضارة تحت ستار التطبيقات الموثوقة، مما يجعل الكشف أكثر صعوبة بشكل كبير.
وأشار الموقع إلى أنه بمجرد تنشيطه، يتيح SnailResin الوصول إلى بيانات الضحية ويجمع معلومات بالغة الأهمية، بما في ذلك عناوين IP وتفاصيل النظام، لتسهيل عملية التسلل على مراحل.
بالإضافة إلى ذلك، تم تصميم استراتيجية التصيد الاحتيالي للمهاجمين الإيرانيين بعناية لاستهداف المهنيين المتخصصين للغاية. تم إنشاء ملفات تعريف LinkedIn المزيفة المرتبطة بشركات غير موجودة، مثل "Careers 2 Find"، لإضفاء الشرعية على هؤلاء المجندين الوهميين.
وتستخدم الملفات الشخصية تكتيكات لتجاوز الشكوك الأولية، وإضافة مصداقية إلى عروض العمل التي تقدم في النهاية ملفات ZIP ضارة.
وقال الموقع إن البرامج الضارة داخل هذه الملفات تم تصميمها للتهرب من اكتشاف برامج مكافحة الفيروسات، مشيراً إلى أن خمسة برامج مكافحة فيروسات صنفتها على أنها خطيرة، حتى أن بعضها أخطأ في تحديدها على أنها برامج ضارة كورية شمالية من مجموعة Kimsuky.
لتجنب الكشف، حرصت المجموعة الإيرانية ((TA455 على إخفاء بنيتها التحتية من خلال تضمين توزيع البرامج الضارة داخل خدمات الإنترنت المشروعة مثل GitHub وCloudflare. من خلال استخدام منصات مثل GitHub لاستضافة خوادم C2، تحجب المجموعة الإيرانية اتصالاتها، وتدمج هذه العناوين في ملفات نصية غير ملحوظة بخلاف ذلك.
ولا تخفي هذه التقنية البنية التحتية للمهاجم فحسب، بل تجعل من الصعب أيضًا على فرق الأمن السيبراني التمييز بين النشاط المشروع والضار.
هجمات دقيقة
وأوضح الموقع أن المجموعة تستخدم Cloudflare لإخفاء الموقع الفعلي لخوادمها. أحد المجالات الضارة التي تم تحديدها، careers2find[.]com، استضاف برنامج SnailResin الخبيث متنكرا في شكل ملف ZIP لعرض عمل.
وتم تسجيل المجال قبل أربعة أشهر فقط من نشر البرنامج الخبيث، مما يشير إلى أن TA455 تخطط بدقة لكل هجوم وتدير بنيتها التحتية بشكل متكرر لتجنب الكشف.
وكشفت التحقيقات الإضافية أن المهاجم استخدم اتصالات مشفرة لنقل بيانات خادم C2 الحساسة إلى إيران مع إخفاء مساراتهم من خلال تبديل عناوين IP والمجالات.
تبدأ سلسلة العدوى متعددة المراحل هذه برسالة بريد إلكتروني تصيدية تحتوي على ملفات ضارة متعلقة بالوظيفة، مثل ملف PDF يوفر تعليمات "التصفح الآمن" لتشجيع الضحية على فتح المرفق المصاب.
ويوصي الخبراء بتضمين اليقظة المتزايدة في ممارسات التوظيف الرقمية، وتدريب الموظفين على التعرف على محاولات التصيد ونشر أمان معزز حول LinkedIn ومنصات التوظيف.