كشفت تقارير أمنية حديثة عن حملة تصيّد إلكتروني متطورة استهدفت عدداً من المؤسسات الإسرائيلية، حيث استُخدمت فيها تقنيات الهندسة الاجتماعية وأساليب مموّهة شبيهة بتقنية ClickFix لإقناع المستخدمين بالضغط على روابط وهمية. هذه الروابط قادت الضحايا إلى صفحات هبوط مزيفة تحاكي دعوات Microsoft Teams، لتفعيل أوامر PowerShell خبيثة تحت ذريعة الانضمام إلى المحادثة.
آلية الهجوم عبر PowerShell RAT
وفقاً للباحثين في شركة Fortinet، يبدأ الهجوم من خلال أوامر PowerShell أولية تسترجع وتنفذ سكربت ثانوي من خوادم المهاجمين، ليعمل كـ محمل (Loader) لبرمجية PowerShell RAT، وهي أداة وصول عن بُعد تتيح للمهاجمين تشغيل أوامر إضافية عن بعد، وتنزيل حمولة برمجية خبيثة جديدة، مما يفتح الباب أمام تجسس كامل أو سرقة بيانات حساسة.
استغلال البنية التحتية الداخلية للبريد
أظهرت التحقيقات أن المهاجمين اعتمدوا على بنية البريد الإلكتروني الداخلية المخترقة في المؤسسات المستهدفة لنشر رسائل التصيّد عبر بيئة الأعمال الإقليمية. وتم استغلال كل بيئة مصابة كنقطة انطلاق للتوسع إلى مؤسسات أخرى، في أسلوب يشبه التكتيكات المعروفة لمجموعة MuddyWater المرتبطة بإيران. غير أن غياب أدوات الإدارة عن بُعد (RMMs)، التي تُعد سمة أساسية لهجمات MuddyWater، يشير إلى تحوّل تكتيكي أو تطوير في أساليبهم.
تقاطع مع نشاط DarkBit للبرمجيات الفدية
بالتزامن مع هذه الحملة، أعلنت شركة Profero الأمنية أنها تمكنت من كسر تشفير برمجيات الفدية التابعة لعصابة DarkBit، والمعروفة أيضاً باسم Storm-1084. هذا الاكتشاف مكّن الضحايا من استعادة ملفاتهم مجاناً عبر أداة فك تشفير تستغل ضعف خوارزمية توليد المفاتيح لدى العصابة. ويرى خبراء أن هناك تقاطعاً ملحوظاً بين نشاط DarkBit وهجمات MuddyWater، مما يثير الشكوك حول ارتباطهما أو تبادل تقنيات بينهما.
بهذا تتضح صورة تهديد متصاعد يستهدف بيئات العمل الإقليمية، مستخدماً مزيجاً من تقنيات التصيّد، والهندسة الاجتماعية، وأدوات PowerShell RAT في إطار هجمات منظمة تتقاطع مع حملات مجموعات تهديد كبرى.
