تم رصد مجموعة تهديدات مرتبطة بإيران تُعرف باسم UNC2428 وهي تقوم بتوزيع برنامج خلفي يُدعى MURKYTOUR كجزء من حملة هندسة اجتماعية ذات طابع وظيفي تستهدف إسرائيل في أكتوبر 2024.
وصفت مانديانت (المملوكة لشركة جوجل) مجموعة UNC2428 بأنها جهة تهديد موالية لإيران وتنخرط في عمليات تجسس إلكتروني. وذكرت أن هذه المجموعة وزعت البرمجيات الخبيثة عبر “سلسلة معقدة من تقنيات الخداع”.
وقالت الشركة في تقريرها السنوي M-Trends 2025: “استهدفت حملة الهندسة الاجتماعية لـUNC2428 أفرادًا بتظاهرها بفرصة توظيف من شركة رافائيل الإسرائيلية للدفاع.”
تم توجيه الأشخاص الذين أبدوا اهتمامًا إلى موقع مزيف يحاكي موقع رافائيل، حيث طُلب منهم تنزيل أداة لمساعدتهم في التقدم للوظيفة.
كانت الأداة (RafaelConnect.exe) عبارة عن مثبت يُدعى LONEFLEET، وعند تشغيله، ظهرت واجهة رسومية (GUI) تطلب من الضحية إدخال معلوماتهم الشخصية وإرسال سيرتهم الذاتية.
بمجرد الإرسال، تم تشغيل البرنامج الخلفي MURKYTOUR كعملية خلفية عبر مُطلق يُسمى LEAFPILE، مما منح المهاجمين وصولًا مستمرًا إلى الجهة المُستهدفة.
وقالت مانديانت: “استخدمت جهات التهديد الإيرانية واجهات رسومية لإخفاء تنفيذ البرمجيات الخبيثة كتطبيقات شرعية. إن وجود واجهة رسومية تحاكي شكل ووظيفة الطُعم المستخدم يقلل من شكوك الضحايا.”
الأمن السيبراني
من الجدير بالذكر أن هذه الحملة تتداخل مع أنشطة نسبتها هيئة الأمن السيبراني الإسرائيلية إلى جهة تهديد إيرانية تُدعى بلاك شادو.
تُعتبر هذه المجموعة، التي يُحتمل أنها تعمل نيابة عن وزارة الاستخبارات والأمن الإيرانية (MOIS)، مسؤولة عن استهداف قطاعات متنوعة في إسرائيل، بما في ذلك الأكاديميا، السياحة، الاتصالات، المال، النقل، الصحة، الحكومة، والتكنولوجيا.
ووفقًا لـمانديانت، فإن UNC2428 هي واحدة من العديد من مجموعات التهديد الإيرانية التي ركزت على إسرائيل في خلال العام الماضي، ومن بينها مجموعة سايبر توفان التي استهدفت مستخدمين إسرائيليين بواسطة برنامج POKYBLIGHT المدمر.
كما أن UNC3313 هي مجموعة تهديد أخرى مرتبطة بإيران، نفذت عمليات مراقبة وجمع معلومات استراتيجية عبر رسائل التصيد الاحتيالي. تم توثيق هذه المجموعة لأول مرة في فبراير 2022، ويُعتقد أنها مرتبطة بمجموعة مادي ووتر.
وقالت مانديانت: “استضافت المجموعة برامجها الضارة على خدمات مشاركة ملفات شهيرة، ووزعت روابط ضمن رسائل تصيد احتيالي ذات طابع تدريبي. في إحدى الحملات، وزعت UNC3313 برنامج JELLYBEAN وبرنامج CANDYBOX الخلفي.”
اعتمدت هجمات UNC3313 بشكل كبير على تسعة أدوات شرعية للتحكم والمراقبة عن بُعد (RMM)، وهي تكتيك مميز لمجموعة مادي ووتر، لتجنب الاكتشاف وتوفير وصول مستمر.
كما رصدت مانديانت في يوليو 2024 جهة تهديد مشتبه بصلتها بإيران وهي توزع برنامجًا خلفيًا يُدعى CACTUSPAL تحت غطاء مثبت لبرنامج GlobalProtect من بالمو ألتو نتوركس.
يقوم البرنامج الخلفي، بعد تشغيله، بالاتصال بخادم تحكم (C2) بعد التأكد من عدم وجود نسخ أخرى تعمل.
بالإضافة إلى ذلك، لوحظ أن جهات التهديد الإيرانية مثل UNC1549 بدأت تستخدم البنية التحتية السحابية في عملياتها لتندمج مع الخدمات الشائعة في البيئات المؤسسية.
وقالت مانديانت: “بالإضافة إلى تقنيات مثل التصيد عبر الأخطاء المطبعية وإعادة استخدام النطاقات، وجدت جهات التهديد أن استضافة خوادم التحكم على البنية السحابية يقلل من التدقيق في عملياتها.”
الأمن السيبراني
لا تكتمل أي نظرة على مشهد التهديدات الإيرانية دون ذكر مجموعة APT42 (المعروفة أيضًا باسم تشارمينج كيتن)، المشهورة بجهودها المعقدة في الهندسة الاجتماعية لسرقة بيانات الاعتماد وتوزيع برمجيات خبيثة مخصصة.
وفقًا لـمانديانت، نشرت المجموعة صفحات تسجيل دخول مزيفة تحاكي جوجل، مايكروسوفت، وياهو! كجزء من حملاتها، مستخدمةً جوجل سايتس وDropbox لتوجيه الضحايا إلى صفحات وهمية.
في المجمل، حددت مانديانت أكثر من 20 عائلة برمجيات خبيثة، بما في ذلك برامج التثبيت والتنزيل والبرامج الخلفية، التي استخدمتها الجهات الإيرانية في هجماتها بالشرق الأوسط في 2024. ومن بينها برنامجا DODGYLAFFA وSPAREPRIZE الخلفيان، اللذان استخدمتهما مجموعة APT34 (أويليج) في هجمات استهدفت جهات حكومية عراقية.
واختتمت مانديانت بالقول: “مع استمرار جهات التهديد الإيرانية في تنفيذ عمليات إلكترونية تتماشى مع مصالح النظام الإيراني، فإنها ستعدل منهجياتها لتتكيف مع مشهد الأمن الحالي.”
