أحدث الأخبار
  • 02:37 . الإمارات تعلن إرسال طائرة المساعدات الإنسانية الـ18للبنان... المزيد
  • 01:38 . السفير الإيراني لدى لبنان يظهر للمرة الأولى بعد "تفجيرات البيجر"... المزيد
  • 01:27 . الإمارات تدين تصريحات سموتريتش وتؤكد رفضها تغيير الوضع القانوني في الضفة... المزيد
  • 01:24 . الحوثيون يعلنون استهداف حاملة طائرات ومدمرتين أميركيتين.. وواشنطن تنفي... المزيد
  • 01:07 . أوبك تخفض توقعاتها لنمو الطلب على النفط... المزيد
  • 12:57 . تعديل حكومي في قطر يشمل 6 وزارات بينها الدفاع... المزيد
  • 09:51 . جيش الاحتلال يبدأ المرحلة الثانية من العملية البرية جنوب لبنان... المزيد
  • 09:37 . إطلاق مشاريع شرطية جديدة في دبي بملياري درهم... المزيد
  • 08:54 . تقرير: قراصنة إيرانيون يستهدفون مجالات حساسة في الإمارات و"إسرائيل"... المزيد
  • 06:57 . الاحتلال يهجّر مئات الفلسطينيين من بيت حانون... المزيد
  • 06:44 . 1000 خبير أمن سيبراني يشاركون بمؤتمر "سايبركيو" في أبوظبي... المزيد
  • 06:28 . الفجيرة.. فقدان طائرة تدريب سقطت في البحر والعثور على جثة المدرب... المزيد
  • 01:31 . نتنياهو يعتزم إعادة قضية ضم الضفة لأجندة حكومته فور تسلم ترامب... المزيد
  • 12:50 . "أدنوك للغاز" تكشف عن استحواذ مرتقب في مشروع "الرويس"... المزيد
  • 12:48 . "بلومبيرغ": أبوظبي والرياض تجذبان كبار سوق "وول ستريت"... المزيد
  • 12:20 . نقل مباراة بشيكطاش التركي ونادٍ إسرائيلي إلى ملعب محايد بعد أحداث أمستردام... المزيد

تقرير: قراصنة إيرانيون يستهدفون مجالات حساسة في الإمارات و"إسرائيل"

ترجمة خاصة – الإمارات 71
تاريخ الخبر: 12-11-2024

كشف تقرير لموقع "candid.technology" الهندي المتخصص في التكنولوجيا، اليوم الثلاثاء، عن قيام قراصنة إيرانيين بعملية تجسس إلكتروني واسعة النطاق تستهدف صناعات الفضاء والدفاع والطيران في عدة دول بينها الإمارات؛ من خلال مخطط يُعرف باسم حملة "وظيفة الأحلام".

وأوضح الموقع أن الحملة تقوم بها مجموعة تهديد إيرانية متقدمة تسمى "TA455" وتتبع مجموعة "Charming Kitten" سيئة السمعة (المعروفة أيضًا باسم APT35 وSmoke Sandstorm)، وتستخدم الحملة تكتيكات هندسية اجتماعية متطورة، حيث تتظاهر بأنها شركات توظيف لجذب أهداف عالية القيمة.

وتهاجم المجموعة مجال صناعات الفضاء والطيران والدفاع في الإمارات "إسرائيل" وتركيا وألبانيا.

وبحسب الموقع، فإن طريقة عمل الحملة تتضمن إنشاء ملفات تعريف وهمية لشركات التوظيف على LinkedIn ومواقع الوظائف، وتقديم وظائف مرموقة في قطاعي الفضاء والدفاع لجذب الضحايا المحتملين. وبمجرد اهتمام الضحية، يتم خداعه لتنزيل ملفات تحتوي على برنامج SnailResin الخبيث، والذي يمنح المهاجمين إمكانية الوصول إلى أنظمتهم.

باستخدام تقنية التحميل الجانبي لـ DLL، يمكن للمجموعة الإيرانية المهاجمة تنفيذ تعليمات برمجية ضارة تحت ستار التطبيقات الموثوقة، مما يجعل الكشف أكثر صعوبة بشكل كبير.

وأشار الموقع إلى أنه بمجرد تنشيطه، يتيح SnailResin الوصول إلى بيانات الضحية ويجمع معلومات بالغة الأهمية، بما في ذلك عناوين IP وتفاصيل النظام، لتسهيل عملية التسلل على مراحل.

بالإضافة إلى ذلك، تم تصميم استراتيجية التصيد الاحتيالي للمهاجمين الإيرانيين بعناية لاستهداف المهنيين المتخصصين للغاية. تم إنشاء ملفات تعريف LinkedIn المزيفة المرتبطة بشركات غير موجودة، مثل "Careers 2 Find"، لإضفاء الشرعية على هؤلاء المجندين الوهميين.

وتستخدم الملفات الشخصية تكتيكات لتجاوز الشكوك الأولية، وإضافة مصداقية إلى عروض العمل التي تقدم في النهاية ملفات ZIP ضارة.

وقال الموقع إن البرامج الضارة داخل هذه الملفات تم تصميمها للتهرب من اكتشاف برامج مكافحة الفيروسات، مشيراً إلى أن خمسة برامج مكافحة فيروسات صنفتها على أنها خطيرة، حتى أن بعضها أخطأ في تحديدها على أنها برامج ضارة كورية شمالية من مجموعة Kimsuky.

لتجنب الكشف، حرصت المجموعة الإيرانية ((TA455 على إخفاء بنيتها التحتية من خلال تضمين توزيع البرامج الضارة داخل خدمات الإنترنت المشروعة مثل GitHub وCloudflare. من خلال استخدام منصات مثل GitHub لاستضافة خوادم C2، تحجب المجموعة الإيرانية اتصالاتها، وتدمج هذه العناوين في ملفات نصية غير ملحوظة بخلاف ذلك.

ولا تخفي هذه التقنية البنية التحتية للمهاجم فحسب، بل تجعل من الصعب أيضًا على فرق الأمن السيبراني التمييز بين النشاط المشروع والضار.

هجمات دقيقة

وأوضح الموقع أن المجموعة تستخدم Cloudflare لإخفاء الموقع الفعلي لخوادمها. أحد المجالات الضارة التي تم تحديدها، careers2find[.]com، استضاف برنامج SnailResin الخبيث متنكرا في شكل ملف ZIP لعرض عمل.

وتم تسجيل المجال قبل أربعة أشهر فقط من نشر البرنامج الخبيث، مما يشير إلى أن TA455 تخطط بدقة لكل هجوم وتدير بنيتها التحتية بشكل متكرر لتجنب الكشف.

وكشفت التحقيقات الإضافية أن المهاجم استخدم اتصالات مشفرة لنقل بيانات خادم C2 الحساسة إلى إيران مع إخفاء مساراتهم من خلال تبديل عناوين IP والمجالات.

تبدأ سلسلة العدوى متعددة المراحل هذه برسالة بريد إلكتروني تصيدية تحتوي على ملفات ضارة متعلقة بالوظيفة، مثل ملف PDF يوفر تعليمات "التصفح الآمن" لتشجيع الضحية على فتح المرفق المصاب.

ويوصي الخبراء بتضمين اليقظة المتزايدة في ممارسات التوظيف الرقمية، وتدريب الموظفين على التعرف على محاولات التصيد ونشر أمان معزز حول LinkedIn ومنصات التوظيف.