قراصنة إيرانيون يحتفظون بوصول لشبكات البنية التحتية بالشرق الأوسط لمدة عامين عبر ثغرات VPN

قراصنة إيرانيون يحتفظون بوصول لشبكات البنية التحتية بالشرق الأوسط لمدة عامين عبر ثغرات VPN
قراصنة إيرانيون يحتفظون بوصول لشبكات البنية التحتية بالشرق الأوسط لمدة عامين عبر ثغرات VPN
شارك هذا الخبر

كشفت تحقيقات أمنية عن تورط مجموعة قرصنة مدعومة من إيران في عملية اختراق طويلة الأمد استهدفت بنية تحتية حرجة (CNI) في الشرق الأوسط، واستمرت قرابة عامين.

ووفقًا لتقرير صادر عن فريق فورتيجارد للاستجابة للحوادث (FGIR)، فإن هذه الأنشطة التي استمرت من مايو 2023 حتى فبراير 2025 تضمنت “عمليات تجسس مكثفة ووضع استراتيجي للشبكات”، وهي تكتيكات تُستخدم عادةً للاحتفاظ بوصول مستدام لتحقيق مكاسب استراتيجية مستقبلية.

المجموعة المسؤولة: ليمون ساندستورم (Lemon Sandstorm)

  • تُعرف أيضًا باسم باريسايت (Parisite) أو بايونير كيتن (Pioneer Kitten) أو UNC757.

  • نشطة منذ 2017 على الأقل، واستهدفت قطاعات الطيران، النفط والغاز، المياه، والكهرباء في الولايات المتحدة والشرق الأوسط وأوروبا وأستراليا.

  • سبق أن اتهمتها وكالات أمنية أمريكية باستخدام برامج الفدية ضد كيانات في إسرائيل، أذربيجان، والإمارات.

مراحل الهجوم على البنية التحتية:

  1. مايو 2023 – أبريل 2024:

    • اختراق نظام SSL VPN باستخدام بيانات تسريب مسروقة.

    • نشر أصداف ويب (Web Shells) على الخوادم المتاحة للعموم.

    • تثبيت 3 برمجيات خبيثة للوصول طويل الأمد:

      • هافوك (Havoc)

      • هانيف نت (HanifNet)

      • إتش إكس لايبراري (HXLibrary)

  2. أبريل 2024 – نوفمبر 2024:

    • تعزيز التواجد عبر إضافة أصداف ويب جديدة وبرنامج نيو إكسبرس رات (NeoExpressRAT).

    • استخدام أدوات مثل plink وNgrok للتسلل أعمق في الشبكة.

    • سرقة رسائل البريد الإلكتروني والتحرك أفقيًا نحو بنية التخيل الافتراضي (Virtualization).

  3. نوفمبر 2024 – ديسمبر 2024:

    • نشر مزيد من الأصداف وبرمجتين خبيثتين إضافيتين:

      • ميش سنترال (MeshCentral Agent)

      • سيستم بي سي (SystemBC) – يُعتقد أنها مقدمة لهجمات الفدية.

  4. ديسمبر 2024 – الآن:

    • محاولات إعادة الاختراق عبر استغلال ثغرات BioTime (CVE-2023-38950 إلى CVE-2023-38952).

    • هجمات التصيد المستهدف (Spear-Phishing) ضد 11 موظفًا لسرقة بيانات Microsoft 365.

الأدوات المستخدمة في الهجوم:

اسم الأداة الوصف تاريخ أول استخدام
هانيف نت برنامج .NET غير موقَّع يتلقى أوامر من خادم C2 أغسطس 2023
إتش إكس لايبراري وحدة IIS خبيثة تسحب ملفات نصية من Google Docs أكتوبر 2023
كريد إنترسيبتور أداة تسرق بيانات الاعتماد من ذاكرة LSASS نوفمبر 2023
ريموت إنجيكتور أداة تحميل تُستخدم لتنفيذ حمولات إضافية أبريل 2024
نو إكسبرس رات برنامج خلفي يتواصل عبر Discord أغسطس 2024

استهداف الشبكات التقنية التشغيلية (OT)

ركز المهاجمون على شبكات OT التابعة للضحية، حيث قاموا بـ:

  • مسح مكثف للشبكات المتصلة بالأنظمة التشغيلية.

  • اختراق أجزاء من الشبكة المجاورة لـ OT، لكن دون دليل على اختراق OT نفسه.

وسوم
محمد طاهر
محمد طاهر
المقالات: 252

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة