رصدت شركات الأمن السيبراني حملة تجسسية جديدة نسبت إلى مجموعة مرتبطة بإيران تُعرف باسم UNC1549، استهدفت شركات اتصالات في عدة دول عبر طعومات توظيف على منصة LinkedIn؛ وأسفرت الحملة عن اختراق 34 جهازًا داخل 11 مؤسسة تقع في كندا وفرنسا والإمارات والمملكة المتحدة والولايات المتحدة.
أسلوب الهجوم: طعومات توظيف مُفصَّلة على LinkedIn
تقوم المجموعة بعمليات استطلاع مكثفة على منصات مهنية مثل LinkedIn لتحديد موظفين ذوي صلاحيات مرتفعة — باحثين ومطوّرين وإداريي نظم — ثم تبني هوية مزيفة لممثلي الموارد البشرية في شركات مشهورة وتبدأ تواصلاً موثوقًا. إذا أبدى المستهدف اهتمامًا، يُرسل عبر البريد الإلكتروني رابط لمقابلة مزعومة على نطاق يحاكي جهات مثل Telespazio أو Safran. يؤدي فتح الرابط إلى تنزيل ملف ZIP يحوي ملف تنفيذية تستغل تقنية DLL side-loading لتشغيل مكتبة DLL خبيثة باسم MINIBIKE.
سلسلة العدوى وتقنيات جمع المعلومات
تستخدم مكتبة MINIBIKE أسلوب DLL side-loading لتثبيت نفسها وتبدأ بجمع معلومات النظام ثم انتظار حمولات إضافية على شكل مكتبات Microsoft Visual C/C++ لتنفيذ مهام استقصائية واسعة النطاق. من وظائفها جمع أسماء الملفات والمجلدات، وقوائم العمليات، والتقاط لقطات شاشة، وسرقة بيانات متصفح الويب وكلمات مرور المُخزَّنة وسجلات الحافظة، فضلاً عن سرقة بيانات حسابات Microsoft Outlook. ولافت أن العاملين بالمجموعة يولّدون لكل جهاز ملف DLL مخصّصًا وفريدًا لجمع معلومات التهيئة الشبكية، ما يعرّض تحليلها لصعوبة إضافية.
قدرات MINIBIKE ومقاومة التحليل
تُعد MINIBIKE بوابة خلفية متكاملة تدعم حوالي 12 أمرًا للتحكم عن بُعد، منها رفع الملفات وتشغيل أوامر وتنفيذ ملفات exe وDLL وBAT وCMD. كما تُدمج حركة اتصالها مع خدمات سحابية مشروعة مثل خدمات Azure وتستخدم VPS كبوّابات وكذا تُجري تعديلات في سجل ويندوز لتضمن تحميلها تلقائيًا عند بدء النظام. تضيف البرمجية طبقات مقاومة تحليل قوية مثل تقنيات مضادة للتصحيح والبيئات الافتراضية، وتوظف أساليب تشويش التحكم في التدفق وخوارزميات تجزئة مخصصة لحل وظائف Windows API في زمن التشغيل.
السياق الأوسع وعلاقة UNC1549 بالجماعات الإيرانية الأخرى
تُعزى UNC1549 (المعروفة أيضًا باسم TA455 وSubtle Snail وفق تتبع PRODAFT) إلى نشاط مرتبط بالحرس الثوري الإيراني، وهي مرتبطة بتكتلات هجومية إيرانية أخرى مثل Smoke Sandstorm وCrimson Sandstorm. تُظهر الحملة اهتمامًا طويل الأمد بقطاعات الاتصالات والدفاع والطيران، ومتسقة مع سلوكيات سابقة وثّقتها جهات أمنية منها استخدام طعومات التوظيف لتسليم عائلات برمجية مثل SnailResin وSlugResin. كما يرافق هذا الكشف تراكم معلومات عن مجموعات إيرانية ثانية مثل MuddyWater التي طورت أدوات مكيّفة متعددة وخفّضت اعتمادها على حلول RMM لصالح أدوات مملوكة ومحمية.
