12:17 . "مصدر" تستثمر 15 مليار دولار في الطاقة المتجددة بالفلبين... المزيد |
12:16 . بايدن: يجب على "إسرائيل" استيعاب القضية الفلسطينية... المزيد |
12:15 . النفط يرتفع وسط مخاوف بشأن المعروض وتجدد آمال خفض الفائدة... المزيد |
12:11 . مجموعة السبع تدعو للعمل على “التنفيذ الكامل” لاتفاق وقف النار في غزة... المزيد |
12:10 . شهداء وجرحى في قصف الاحتلال على غزة رغم اعلان "وقف إطلاق النار"... المزيد |
09:14 . البنك الدولي يتوقع نمو اقتصاد الإمارات في 2025 بنسبة 4%... المزيد |
09:10 . محمد بن زايد والسيسي يبحثان علاقات البلدين والتطورات في المنطقة... المزيد |
09:01 . ريال مدريد يبلغ ربع نهائي كأس ملك إسبانيا بفوز مثير على سيلتا فيغو... المزيد |
08:56 . الكويت تقرر سحب جنسية أكثر من 5800... المزيد |
08:48 . حكومة نتنياهو تجتمع اليوم لإقرار اتفاق غزة... المزيد |
12:56 . شباب الأهلي يهزم الريان القطري ويتوج بدرع التحدي... المزيد |
12:55 . بعد الانتصارات الأخيرة.. واشنطن تفرض عقوبات على قائد الجيش السوداني عبد الفتاح البرهان... المزيد |
12:54 . رئيس الدولة يعيّن وليد العوضي رئيساً تنفيذياً لهيئة الأوراق المالية والسلع... المزيد |
09:25 . طعن الممثل الهندي سيف علي خان من قبل شخص اقتحم منزله... المزيد |
07:47 . رئيس وزراء قطر يصل دمشق في أول زيارة بعد سقوط نظام الأسد... المزيد |
07:01 . كيف سيتم تبادل الأسرى بعد اتفاق وقف إطلاق النار بغزة؟... المزيد |
كشف تقرير لموقع "candid.technology" الهندي المتخصص في التكنولوجيا، اليوم الثلاثاء، عن قيام قراصنة إيرانيين بعملية تجسس إلكتروني واسعة النطاق تستهدف صناعات الفضاء والدفاع والطيران في عدة دول بينها الإمارات؛ من خلال مخطط يُعرف باسم حملة "وظيفة الأحلام".
وأوضح الموقع أن الحملة تقوم بها مجموعة تهديد إيرانية متقدمة تسمى "TA455" وتتبع مجموعة "Charming Kitten" سيئة السمعة (المعروفة أيضًا باسم APT35 وSmoke Sandstorm)، وتستخدم الحملة تكتيكات هندسية اجتماعية متطورة، حيث تتظاهر بأنها شركات توظيف لجذب أهداف عالية القيمة.
وتهاجم المجموعة مجال صناعات الفضاء والطيران والدفاع في الإمارات "إسرائيل" وتركيا وألبانيا.
وبحسب الموقع، فإن طريقة عمل الحملة تتضمن إنشاء ملفات تعريف وهمية لشركات التوظيف على LinkedIn ومواقع الوظائف، وتقديم وظائف مرموقة في قطاعي الفضاء والدفاع لجذب الضحايا المحتملين. وبمجرد اهتمام الضحية، يتم خداعه لتنزيل ملفات تحتوي على برنامج SnailResin الخبيث، والذي يمنح المهاجمين إمكانية الوصول إلى أنظمتهم.
باستخدام تقنية التحميل الجانبي لـ DLL، يمكن للمجموعة الإيرانية المهاجمة تنفيذ تعليمات برمجية ضارة تحت ستار التطبيقات الموثوقة، مما يجعل الكشف أكثر صعوبة بشكل كبير.
وأشار الموقع إلى أنه بمجرد تنشيطه، يتيح SnailResin الوصول إلى بيانات الضحية ويجمع معلومات بالغة الأهمية، بما في ذلك عناوين IP وتفاصيل النظام، لتسهيل عملية التسلل على مراحل.
بالإضافة إلى ذلك، تم تصميم استراتيجية التصيد الاحتيالي للمهاجمين الإيرانيين بعناية لاستهداف المهنيين المتخصصين للغاية. تم إنشاء ملفات تعريف LinkedIn المزيفة المرتبطة بشركات غير موجودة، مثل "Careers 2 Find"، لإضفاء الشرعية على هؤلاء المجندين الوهميين.
وتستخدم الملفات الشخصية تكتيكات لتجاوز الشكوك الأولية، وإضافة مصداقية إلى عروض العمل التي تقدم في النهاية ملفات ZIP ضارة.
وقال الموقع إن البرامج الضارة داخل هذه الملفات تم تصميمها للتهرب من اكتشاف برامج مكافحة الفيروسات، مشيراً إلى أن خمسة برامج مكافحة فيروسات صنفتها على أنها خطيرة، حتى أن بعضها أخطأ في تحديدها على أنها برامج ضارة كورية شمالية من مجموعة Kimsuky.
لتجنب الكشف، حرصت المجموعة الإيرانية ((TA455 على إخفاء بنيتها التحتية من خلال تضمين توزيع البرامج الضارة داخل خدمات الإنترنت المشروعة مثل GitHub وCloudflare. من خلال استخدام منصات مثل GitHub لاستضافة خوادم C2، تحجب المجموعة الإيرانية اتصالاتها، وتدمج هذه العناوين في ملفات نصية غير ملحوظة بخلاف ذلك.
ولا تخفي هذه التقنية البنية التحتية للمهاجم فحسب، بل تجعل من الصعب أيضًا على فرق الأمن السيبراني التمييز بين النشاط المشروع والضار.
هجمات دقيقة
وأوضح الموقع أن المجموعة تستخدم Cloudflare لإخفاء الموقع الفعلي لخوادمها. أحد المجالات الضارة التي تم تحديدها، careers2find[.]com، استضاف برنامج SnailResin الخبيث متنكرا في شكل ملف ZIP لعرض عمل.
وتم تسجيل المجال قبل أربعة أشهر فقط من نشر البرنامج الخبيث، مما يشير إلى أن TA455 تخطط بدقة لكل هجوم وتدير بنيتها التحتية بشكل متكرر لتجنب الكشف.
وكشفت التحقيقات الإضافية أن المهاجم استخدم اتصالات مشفرة لنقل بيانات خادم C2 الحساسة إلى إيران مع إخفاء مساراتهم من خلال تبديل عناوين IP والمجالات.
تبدأ سلسلة العدوى متعددة المراحل هذه برسالة بريد إلكتروني تصيدية تحتوي على ملفات ضارة متعلقة بالوظيفة، مثل ملف PDF يوفر تعليمات "التصفح الآمن" لتشجيع الضحية على فتح المرفق المصاب.
ويوصي الخبراء بتضمين اليقظة المتزايدة في ممارسات التوظيف الرقمية، وتدريب الموظفين على التعرف على محاولات التصيد ونشر أمان معزز حول LinkedIn ومنصات التوظيف.