قراصنة إيرانيون يستهدفون منظمات عالمية
قراصنة إيرانيون يستهدفون منظمات عالمية
تم رصد مجموعة قراصنة قومية تُعرف باسم Charming Kitten أو Phosphorus أو TA53، وأيضًا 35/42 APT35/42. قامت هذه المجموعة بنشر برنامج ضار سابقًا غير معروف باسم Sponsor في 34 شركة حول العالم.
تميز برنامج Sponsor بأنه يخفي ملفات التكوين غير الضارة على قرص الضحية، مما يسمح بنشرها سرًا باستخدام البرامج النصية المجمعة الضارة، مما يساهم في تجنب الكشف بنجاح.
واستمرت هذه الحملة من مارس 2021 إلى يونيو 2022، واستهدفت مؤسسات حكومية ومؤسسات رعاية صحية في قطاعات مالية وهندسية وتصنيع وتكنولوجيا وقانون واتصالات، وغيرها.
كانت بين الدول التي تعرضت للاستهداف بشكل كبير في هذه الحملة إسرائيل والبرازيل والإمارات العربية المتحدة.
كما أن تقارير شركة Eset تشير إلى أن مجموعة Charming Kitten استفادت بشكل رئيسي من ثغرة أمنية معروفة باسم CVE-2021-26855، وهي ثغرة في خدمة Microsoft Exchange، للوصول الأولي إلى شبكات الأهداف.
بعد الوصول الأولي، استخدم القراصنة العديد من الأدوات مفتوحة المصدر التي تمكنهم من استخراج البيانات ومراقبة النظام والتسلل في الشبكة، مما يساعدهم على الحفاظ على وصولهم إلى أجهزة الحاسوب التي تم اختراقها.
شهدت شركة Eset أيضًا إصدارًا ثانيًا من برنامج Sponsor، حيث جاء مع تحسينات في التعليمات البرمجية وطبقة إضافية من التخفي تجعله يبدو كأداة تحديث.
وعلى الرغم من أن عناوين بروتوكول الإنترنت IP المستخدمة في هذه الحملة لم تعد متصلة بالإنترنت، إلا أن شركة Eset قد شاركت مؤشرات قرصنة كاملة للمساعدة في حماية المؤسسات من التهديدات المحتملة في المستقبل، خاصة إذا تم استخدام بعض الأدوات أو البنية التحتية التي تم نشرها سابقًا من قبل مجموعة Charming Kitten في حملات أخرى.