كشف تقرير لموقع "candid.technology" الهندي المتخصص في التكنولوجيا، اليوم الثلاثاء، عن قيام قراصنة إيرانيين بعملية تجسس إلكتروني واسعة النطاق تستهدف صناعات الفضاء والدفاع والطيران في عدة دول بينها الإمارات؛ من خلال مخطط يُعرف باسم حملة "وظيفة الأحلام".

وأوضح الموقع أن الحملة تقوم بها مجموعة تهديد إيرانية متقدمة تسمى "TA455" وتتبع مجموعة "Charming Kitten" سيئة السمعة (المعروفة أيضًا باسم APT35 وSmoke Sandstorm)، وتستخدم الحملة تكتيكات هندسية اجتماعية متطورة، حيث تتظاهر بأنها شركات توظيف لجذب أهداف عالية القيمة.

وتهاجم المجموعة مجال صناعات الفضاء والطيران والدفاع في الإمارات "إسرائيل" وتركيا وألبانيا.

وبحسب الموقع، فإن طريقة عمل الحملة تتضمن إنشاء ملفات تعريف وهمية لشركات التوظيف على LinkedIn ومواقع الوظائف، وتقديم وظائف مرموقة في قطاعي الفضاء والدفاع لجذب الضحايا المحتملين. وبمجرد اهتمام الضحية، يتم خداعه لتنزيل ملفات تحتوي على برنامج SnailResin الخبيث، والذي يمنح المهاجمين إمكانية الوصول إلى أنظمتهم.

باستخدام تقنية التحميل الجانبي لـ DLL، يمكن للمجموعة الإيرانية المهاجمة تنفيذ تعليمات برمجية ضارة تحت ستار التطبيقات الموثوقة، مما يجعل الكشف أكثر صعوبة بشكل كبير.

وأشار الموقع إلى أنه بمجرد تنشيطه، يتيح SnailResin الوصول إلى بيانات الضحية ويجمع معلومات بالغة الأهمية، بما في ذلك عناوين IP وتفاصيل النظام، لتسهيل عملية التسلل على مراحل.

بالإضافة إلى ذلك، تم تصميم استراتيجية التصيد الاحتيالي للمهاجمين الإيرانيين بعناية لاستهداف المهنيين المتخصصين للغاية. تم إنشاء ملفات تعريف LinkedIn المزيفة المرتبطة بشركات غير موجودة، مثل "Careers 2 Find"، لإضفاء الشرعية على هؤلاء المجندين الوهميين.

وتستخدم الملفات الشخصية تكتيكات لتجاوز الشكوك الأولية، وإضافة مصداقية إلى عروض العمل التي تقدم في النهاية ملفات ZIP ضارة.

وقال الموقع إن البرامج الضارة داخل هذه الملفات تم تصميمها للتهرب من اكتشاف برامج مكافحة الفيروسات، مشيراً إلى أن خمسة برامج مكافحة فيروسات صنفتها على أنها خطيرة، حتى أن بعضها أخطأ في تحديدها على أنها برامج ضارة كورية شمالية من مجموعة Kimsuky.

لتجنب الكشف، حرصت المجموعة الإيرانية ((TA455 على إخفاء بنيتها التحتية من خلال تضمين توزيع البرامج الضارة داخل خدمات الإنترنت المشروعة مثل GitHub وCloudflare. من خلال استخدام منصات مثل GitHub لاستضافة خوادم C2، تحجب المجموعة الإيرانية اتصالاتها، وتدمج هذه العناوين في ملفات نصية غير ملحوظة بخلاف ذلك.

ولا تخفي هذه التقنية البنية التحتية للمهاجم فحسب، بل تجعل من الصعب أيضًا على فرق الأمن السيبراني التمييز بين النشاط المشروع والضار.

هجمات دقيقة

وأوضح الموقع أن المجموعة تستخدم Cloudflare لإخفاء الموقع الفعلي لخوادمها. أحد المجالات الضارة التي تم تحديدها، careers2find[.]com، استضاف برنامج SnailResin الخبيث متنكرا في شكل ملف ZIP لعرض عمل.

وتم تسجيل المجال قبل أربعة أشهر فقط من نشر البرنامج الخبيث، مما يشير إلى أن TA455 تخطط بدقة لكل هجوم وتدير بنيتها التحتية بشكل متكرر لتجنب الكشف.

وكشفت التحقيقات الإضافية أن المهاجم استخدم اتصالات مشفرة لنقل بيانات خادم C2 الحساسة إلى إيران مع إخفاء مساراتهم من خلال تبديل عناوين IP والمجالات.

تبدأ سلسلة العدوى متعددة المراحل هذه برسالة بريد إلكتروني تصيدية تحتوي على ملفات ضارة متعلقة بالوظيفة، مثل ملف PDF يوفر تعليمات "التصفح الآمن" لتشجيع الضحية على فتح المرفق المصاب.

ويوصي الخبراء بتضمين اليقظة المتزايدة في ممارسات التوظيف الرقمية، وتدريب الموظفين على التعرف على محاولات التصيد ونشر أمان معزز حول LinkedIn ومنصات التوظيف.