أحدث الأخبار
  • 12:18 . القنصلية السورية في دبي تقرر تعليق إصدار وتجديد جوازات السفر... المزيد
  • 12:06 . الولايات المتحدة تسعى لتدمير الأسلحة الكيميائية بسوريا عقب سقوط الأسد... المزيد
  • 09:05 . محمد بن زايد يؤكد الحرص على وحدة سوريا وأمنها... المزيد
  • 08:51 . جيش الاحتلال يقر بمقتل وإصابة 15 عسكرياً في معارك بمخيم جباليا... المزيد
  • 08:42 . ولي العهد السعودي يعقد "لقاء موسعاً" مع رئيس وزراء بريطانيا في الرياض... المزيد
  • 08:30 . بلومبرغ: صناديق "بتكوين" تجذب 10 مليارات دولار منذ فوز ترامب... المزيد
  • 08:23 . شرطة دبي تُلقي القبض على أحد أبرز تجار المخدرات المطلوبين دولياً... المزيد
  • 08:00 . حماس تبارك نجاح الثورة السورية في إسقاط نظام الأسد... المزيد
  • 07:12 . مجلس التعاون يؤكد موقفه الثابت بالحفاظ على وحدة سوريا... المزيد
  • 06:35 . المعارضة السورية تتجه لتشكيل حكومة انتقالية برئاسة محمد البشير... المزيد
  • 06:25 . عقب إسقاط نظام الأسد.. أبوظبي تدعو الأطراف السورية لتغليب الحكمة... المزيد
  • 02:01 . الاحتلال الإسرائيلي يكثف غاراته على عدة مناطق في غزة... المزيد
  • 12:03 . سوريا تطوي صفحة عائلة الأسد من تاريخها... المزيد
  • 11:57 . الاحتلال الإسرائيلي يقصف 100 موقع سوري عقب سقوط الأسد... المزيد
  • 11:17 . عسكري إسرائيلي يزور الإمارات ويلتقي عبدالله بن زايد... المزيد
  • 10:58 . كوريا الجنوبية.. الشرطة تدرس منع الرئيس من السفر... المزيد

تقرير: قراصنة إيرانيون يستهدفون مجالات حساسة في الإمارات و"إسرائيل"

ترجمة خاصة – الإمارات 71
تاريخ الخبر: 12-11-2024

كشف تقرير لموقع "candid.technology" الهندي المتخصص في التكنولوجيا، اليوم الثلاثاء، عن قيام قراصنة إيرانيين بعملية تجسس إلكتروني واسعة النطاق تستهدف صناعات الفضاء والدفاع والطيران في عدة دول بينها الإمارات؛ من خلال مخطط يُعرف باسم حملة "وظيفة الأحلام".

وأوضح الموقع أن الحملة تقوم بها مجموعة تهديد إيرانية متقدمة تسمى "TA455" وتتبع مجموعة "Charming Kitten" سيئة السمعة (المعروفة أيضًا باسم APT35 وSmoke Sandstorm)، وتستخدم الحملة تكتيكات هندسية اجتماعية متطورة، حيث تتظاهر بأنها شركات توظيف لجذب أهداف عالية القيمة.

وتهاجم المجموعة مجال صناعات الفضاء والطيران والدفاع في الإمارات "إسرائيل" وتركيا وألبانيا.

وبحسب الموقع، فإن طريقة عمل الحملة تتضمن إنشاء ملفات تعريف وهمية لشركات التوظيف على LinkedIn ومواقع الوظائف، وتقديم وظائف مرموقة في قطاعي الفضاء والدفاع لجذب الضحايا المحتملين. وبمجرد اهتمام الضحية، يتم خداعه لتنزيل ملفات تحتوي على برنامج SnailResin الخبيث، والذي يمنح المهاجمين إمكانية الوصول إلى أنظمتهم.

باستخدام تقنية التحميل الجانبي لـ DLL، يمكن للمجموعة الإيرانية المهاجمة تنفيذ تعليمات برمجية ضارة تحت ستار التطبيقات الموثوقة، مما يجعل الكشف أكثر صعوبة بشكل كبير.

وأشار الموقع إلى أنه بمجرد تنشيطه، يتيح SnailResin الوصول إلى بيانات الضحية ويجمع معلومات بالغة الأهمية، بما في ذلك عناوين IP وتفاصيل النظام، لتسهيل عملية التسلل على مراحل.

بالإضافة إلى ذلك، تم تصميم استراتيجية التصيد الاحتيالي للمهاجمين الإيرانيين بعناية لاستهداف المهنيين المتخصصين للغاية. تم إنشاء ملفات تعريف LinkedIn المزيفة المرتبطة بشركات غير موجودة، مثل "Careers 2 Find"، لإضفاء الشرعية على هؤلاء المجندين الوهميين.

وتستخدم الملفات الشخصية تكتيكات لتجاوز الشكوك الأولية، وإضافة مصداقية إلى عروض العمل التي تقدم في النهاية ملفات ZIP ضارة.

وقال الموقع إن البرامج الضارة داخل هذه الملفات تم تصميمها للتهرب من اكتشاف برامج مكافحة الفيروسات، مشيراً إلى أن خمسة برامج مكافحة فيروسات صنفتها على أنها خطيرة، حتى أن بعضها أخطأ في تحديدها على أنها برامج ضارة كورية شمالية من مجموعة Kimsuky.

لتجنب الكشف، حرصت المجموعة الإيرانية ((TA455 على إخفاء بنيتها التحتية من خلال تضمين توزيع البرامج الضارة داخل خدمات الإنترنت المشروعة مثل GitHub وCloudflare. من خلال استخدام منصات مثل GitHub لاستضافة خوادم C2، تحجب المجموعة الإيرانية اتصالاتها، وتدمج هذه العناوين في ملفات نصية غير ملحوظة بخلاف ذلك.

ولا تخفي هذه التقنية البنية التحتية للمهاجم فحسب، بل تجعل من الصعب أيضًا على فرق الأمن السيبراني التمييز بين النشاط المشروع والضار.

هجمات دقيقة

وأوضح الموقع أن المجموعة تستخدم Cloudflare لإخفاء الموقع الفعلي لخوادمها. أحد المجالات الضارة التي تم تحديدها، careers2find[.]com، استضاف برنامج SnailResin الخبيث متنكرا في شكل ملف ZIP لعرض عمل.

وتم تسجيل المجال قبل أربعة أشهر فقط من نشر البرنامج الخبيث، مما يشير إلى أن TA455 تخطط بدقة لكل هجوم وتدير بنيتها التحتية بشكل متكرر لتجنب الكشف.

وكشفت التحقيقات الإضافية أن المهاجم استخدم اتصالات مشفرة لنقل بيانات خادم C2 الحساسة إلى إيران مع إخفاء مساراتهم من خلال تبديل عناوين IP والمجالات.

تبدأ سلسلة العدوى متعددة المراحل هذه برسالة بريد إلكتروني تصيدية تحتوي على ملفات ضارة متعلقة بالوظيفة، مثل ملف PDF يوفر تعليمات "التصفح الآمن" لتشجيع الضحية على فتح المرفق المصاب.

ويوصي الخبراء بتضمين اليقظة المتزايدة في ممارسات التوظيف الرقمية، وتدريب الموظفين على التعرف على محاولات التصيد ونشر أمان معزز حول LinkedIn ومنصات التوظيف.