الباب الخلفي لـ MURKYTOUR
في أكتوبر/تشرين الأول 2024، شنّت مجموعة UNC2428، وهي جهة تهديد مرتبطة بإيران، حملة تجسس إلكتروني استهدفت أفرادًا إسرائيليين. متنكّرةً في هيئة مُجنّدين من شركة رافائيل الإسرائيلية للمقاولات الدفاعية، استخدمت المجموعة مخططًا هندسيًا اجتماعيًا قائمًا على الوظائف لجذب الضحايا. بمجرد أن يُبدي الأفراد اهتمامهم، يُعاد توجيههم إلى موقع ويب احتيالي يُقلّد رافائيل، حيث يُطلب منهم تنزيل أداة تطبيق تُسمى "RafaelConnect.exe".
جدول المحتويات
من الاهتمام إلى التطفل: سلسلة توصيل البرامج الضارة
الأداة التي تم تنزيلها كانت في الواقع مُثبّتًا يُعرف باسم LONEFLEET. تميّزت بواجهة مستخدم رسومية (GUI) مصممة لتبدو كبوابة طلبات توظيف رسمية، تطلب بيانات شخصية وتحميل سيرة ذاتية. أخفت هذه الواجهة، التي تبدو غير ضارة، نيةً ضارة. عند إرسال البيانات، يُنشر باب خلفي يُسمى MURKYTOUR بصمت في الخلفية عبر مُشغّل يُسمى LEAFPILE، مما يمنح المهاجمين وصولًا مستمرًا إلى النظام المُصاب. يُبرز هذا النهج الاستخدام الاستراتيجي للجهات المُهدّدة لواجهات المستخدم الرسومية لإخفاء تنفيذ البرامج الضارة على أنه نشاط حميد.
أكثر من لاعب واحد: اتساع نطاق التهديد السيبراني الإيراني
UNC2428 ليس سوى جزء من لغز أوسع نطاقًا لعمليات إلكترونية إيرانية. تتشابه هذه الحملة في خصائصها مع أنشطة مرتبطة بـ"الظل الأسود"، وهي كيان اتهمته المديرية الوطنية للأمن الإلكتروني في إسرائيل، ويُعتقد أنه يعمل تحت إشراف وزارة الاستخبارات والأمن الإيرانية. وتمتد أهدافها إلى قطاعات عديدة في إسرائيل، منها:
- الحكومة والدفاع
- الرعاية الصحية والتمويل
- التكنولوجيا والاتصالات
هناك جهة فاعلة أخرى، UNC3313، مرتبطة بمجموعة MuddyWater ، تُشغّل حملات تصيد احتيالي مُوجّهة منذ عام 2022، وهي معروفة باستخدامها أدوات مراقبة عن بُعد مشروعة للحفاظ على الوصول السري والمستمر. في الوقت نفسه، انتقلت UNC1549 إلى البنية التحتية السحابية للاندماج بشكل أفضل في بيئات المؤسسات وتجنب الكشف.
خبراء التلاعب: APT42 وما بعده
تشتهر مجموعة APT42 ، المعروفة أيضًا باسم "القط الساحر"، بتقنياتها المتطورة في الهندسة الاجتماعية. وقد نشرت هذه المجموعة صفحات تسجيل دخول مزيفة تنتحل صفة منصات رئيسية مثل جوجل ومايكروسوفت وياهو! لجمع بيانات الاعتماد. واستخدمت منصات مثل جوجل سايتس ودروبوكس لتوجيه الضحايا إلى هذه الصفحات الخبيثة، مما زاد من خداعهم.
علاوة على ذلك، استخدمت مجموعة APT34 (OilRig) برمجياتٍ خلفيةً مُخصصة مثل DODGYLAFFA وSPAREPRIZE في هجماتٍ على أنظمة الحكومة العراقية. وفي المجمل، حدد خبراء الأمن السيبراني أكثر من 20 عائلةً فريدةً من البرمجيات الخبيثة التي طورتها أو استخدمتها جهاتٌ إيرانيةٌ في عملياتٍ سيبرانيةٍ مُختلفةٍ في الشرق الأوسط عام 2024.
الخلاصة: تهديد مستمر ومتطور
أظهر المهاجمون السيبرانيون الإيرانيون تطورًا ملحوظًا في تكتيكاتهم، حيث جمعوا بين التلاعب النفسي والتطور التقني. ومن خلال واجهات المستخدم الرسومية والأدوات الشرعية والخدمات السحابية، يُحسّنون نهجهم للحفاظ على الوصول وتجنب الكشف، مما يُشير إلى استمرار التحدي الذي تواجهه جهود الأمن السيبراني الإقليمية والعالمية.
