تستهدف الهاكرز صناعة الطيران بعروض عمل مزيفة وبرامج ضارة مخفية
في عجلة من أمرك؟ ها هي الحقائق السريعة!
- تستخدم الحملة ملفات تعريف LinkedIn وشركات وهمية لتوصيل برنامج SnailResin الخبيث.
- يتجاوز البرنامج الخبيث برامج مكافحة الفيروسات عن طريق الاختباء في خدمات السحابة المشروعة مثل GitHub.
- قد استهدفت الحملة المنظمات منذ سبتمبر 2023، مع تغيير التكتيكات باستمرار.
تستهدف حملة سايبرية حديثة، تُعرف بحملة “الوظيفة الأحلام الإيرانية”، العاملين في قطاعات الفضاء والطيران والدفاع، من خلال تقديم عروض وظيفية جذابة.
كشفت شركة ClearSky لأمن المعلومات أن هذه الحملة هي عمل لمجموعة مرتبطة بالمنظمة الإيرانية للاختراق المعروفة بـ”القط الساحر” (والتي يشار إليها أيضًا باسم APT35).
تهدف الحملة إلى التسلل إلى الشركات المستهدفة وسرقة المعلومات الحساسة عن طريق خداع الأفراد لتحميل برامج ضارة متنكرة على أنها مواد متعلقة بالعمل.
تقول ClearSky أن عملية الاحتيال “الوظيفة الحلم” تتضمن ملفات تعريف مزيفة للمجندين على LinkedIn، غالباً ما تستخدم شركات وهمية لجذب الضحايا إلى تحميل البرامج الضارة. البرنامج الخبيث المعني، والذي يُطلق عليه SnailResin، يصيب جهاز الضحية، مما يتيح للقراصنة جمع البيانات السرية ومراقبة الأنشطة ضمن الشبكة.
تشير ClearSky إلى أن هؤلاء القراصنة قد صقلوا تقنياتهم، مثل استخدام خدمات السحابة الأصلية مثل Cloudflare وGitHub لإخفاء الروابط الخبيثة، مما يجعل الكشف عنها تحدياً.
وما يثير الاهتمام، هو أن القراصنة الإيرانيين قد تبنوا تكتيكات من كوريا الشمالية والتي طورتها مجموعة Lazarus، التي ابتكرت خدعة “الوظيفة الحلم” في عام 2020. من خلال تقليد نهج Lazarus، يضلل القراصنة الإيرانيون المحققين، مما يجعله أصعب لتتبع الهجمات إلى مصدرها.
توضح ClearSky أن الهجوم يستخدم طريقة تُعرف بـ “تحميل DLL الجانبي”، والتي تسمح للبرامج الضارة بالتسلل إلى الكمبيوتر عبر التظاهر بأنها ملف برنامج شرعي. هذه التقنية، بالإضافة إلى استخدام الملفات المشفرة والترميز المعقد، تساعد القراصنة على تجاوز التدابير الأمنية الشائعة.
وفقًا لـ ClearSky، فإن البرامج الضارة تتمكن بنجاح من التهرب من العديد من برامج مكافحة الفيروسات، حيث أنه لا يوجد سوى بضعة أدوات أمنية قادرة على تحديدها. منذ سبتمبر 2023، قامت الحملة الإيرانية “الوظيفة الحلم” بالتكيف والتطور، وتحديث تكتيكاتها وبرامجها الضارة بانتظام لتظل خطوة واحدة أمام الدفاعات الأمنية السيبرانية، كما تقول ClearSky.
لقد اكتشفت الشركات الرائدة في مجال الأمن السيبراني، بما في ذلك Mandiant، نشاطه عبر دول مختلفة، وخاصة في الشرق الأوسط، كما تلاحظ ClearSky. يبرزون مدى الثبات والتطور الذي يتمتع به، مشيرين إلى أن هيكل الحملة يتغير بشكل متكرر، مما يجعلها تهديدًا مستمرًا للصناعات المستهدفة.
تحذر ClearSky من أن المنظمات في قطاعات الطيران والدفاع والقطاعات ذات المخاطر العالية الأخرى يجب أن تظل يقظة وتتبنى تدابير استباقية لمكافحة هذه الأنواع من الهجمات.
من خلال تثقيف الموظفين حول مخاطر التصيد الاحتيالي والعروض الوظيفية الكاذبة، وتطبيق بروتوكولات الأمان القوية، يمكن للشركات أن تساهم في تقليل الضعف أمام هذه التهديدات الإلكترونية الخداعة للغاية.
اترك تعليقًا
إلغاء