تجسس جديد على Telegram Messenger API قراصنة إيرانيون يستخدمون برامج تجسس ضارة جديدة على Telegram Messenger API تم الكشف عن جهة فاعلة تهدد العلاقة الجيوسياسية الإيرانية تنشر برنامجين خبيرين مستهدفين جديدين يأتيان بوظائف خلفية “بسيطة” كجزء من تدخل ضد كيان حكومي في الشرق الأوسط لم يذكر اسمه في نوفمبر 2021.
عزت شركة الأمن السيبراني Mandiant الهجوم إلى مجموعة غير مصنفة تتبعها تحت لقب UNC3313. والتي تقيمها “بثقة معتدلة” على أنها مرتبطة بمجموعة MuddyWater التي ترعاها الدولة.
ماذا قال الباحثون:
قال الباحثون رايان تومسيك وإيميل هيجبيرت وطفيل أحمد: “تجري UNC3313 مراقبة وتجمع معلومات استراتيجية لدعم المصالح الإيرانية وعملية صنع القرار”. في النهاية “تُظهر أنماط الاستهداف والإغراءات ذات الصلة تركيزًا قويًا على الأهداف ذات الصلة الجيوسياسية.”
بينما في منتصف كانون الثاني (يناير) 2022. وصفت وكالات الاستخبارات الأمريكية MuddyWater (المعروف أيضًا باسم Static Kitten أو Seedworm أو TEMP.Zagros أو Mercury) بأنه عنصر ثانوي من وزارة الاستخبارات والأمن الإيرانية (MOIS) التي كانت نشطة منذ عام 2018 على الأقل وهي من المعروف أنها تستخدم مجموعة واسعة من الأدوات والتقنيات في عملياتها.
يُقال إن الهجمات قد تم تدبيرها عبر رسائل التصيد للحصول على وصول أولي. تليها الاستفادة من أدوات الأمان الهجومية المتاحة للجمهور وبرامج الوصول عن بُعد للحركة الجانبية والحفاظ على الوصول إلى البيئة.
تم تصميم رسائل البريد الإلكتروني للتصيد الاحتيالي باستخدام إغراء الترقية الوظيفية كما خدعت العديد من الضحايا للنقر فوق عنوان URL لتنزيل ملف أرشيف RAR مستضاف على OneHub. مما مهد الطريق لتثبيت ScreenConnect.
ماذا يشيار الباحثون اليه:
وأشار الباحثون إلى أن “UNC3313 تحرك بسرعة لإنشاء وصول عن بعد باستخدام ScreenConnect لاختراق الأنظمة في غضون ساعة من التسوية الأولية”. بينما مضيفين أنه تم احتواء الحادث الأمني ومعالجته بسرعة.
تضمنت المراحل اللاحقة من الهجوم تصعيد الامتيازات. وتنفيذ استطلاع داخلي على الشبكة المستهدفة. وتشغيل أوامر PowerShell المبهمة لتنزيل أدوات وحمولات إضافية على الأنظمة البعيدة.
بينما لوحظ أيضًا وجود باب خلفي غير موثق سابقًا يسمى STARWHALE. وهو ملف Windows Script (.WSF) ينفذ الأوامر المستلمة من خادم الأوامر والتحكم (C2) المشفر عبر HTTP.
شي اخر تم تسليمه أثناء الهجوم GRAMDOOR. وقد سمي بهذا الاسم نظرًا لاستخدامها Telegram API لاتصالاتها الشبكية مع الخادم الذي يتحكم فيه المهاجمون في محاولة للتهرب من الاكتشاف. ومرة أخرى تسلط الضوء على استخدام أدوات الاتصال لتسهيل التسلل البيانات. تجسس جديد على Telegram Messenger API
من ناحية أخرى. تتزامن النتائج أيضًا مع استشارة مشتركة جديدة من وكالات الأمن السيبراني من المملكة المتحدة والولايات المتحدة. كما تتهم مجموعة MuddyWater بهجمات تجسس تستهدف قطاعات الدفاع والحكومة المحلية والنفط والغاز الطبيعي والاتصالات في جميع أنحاء العالم.