كشف باحثون في مجال الأمن السيبراني عن تفاصيل حملة تجسس جديدة تُعرف باسم CRESCENTHARVEST، تستهدف بشكل مباشر أنصار الاحتجاجات الجارية في إيران بهدف سرقة المعلومات وتنفيذ عمليات تجسس طويلة الأمد.
وقد رصد فريق تيكبامين للأخبار التقنية تفاصيل هذه الهجمات التي نشطت بعد 9 يناير، حيث صُممت لتوصيل حمولة خبيثة تعمل كأحصنة طروادة للوصول عن بعد (RAT) وبرمجيات لسرقة المعلومات.
ما هي قدرات برمجيات CRESCENTHARVEST الخبيثة؟
تتمحور خطورة هذه الحملة في نوعية البرمجيات المستخدمة، والتي تمنح المهاجمين سيطرة واسعة على أجهزة الضحايا. ووفقاً للتقارير الأمنية، فإن هذه البرمجيات قادرة على تنفيذ المهام التالية:
- تنفيذ أوامر برمجية عن بعد على جهاز الضحية.
- تسجيل ضربات المفاتيح (Keylogging) لسرقة كلمات المرور.
- سحب واستخراج البيانات الحساسة والملفات الشخصية.
- العمل كبرمجية تجسس طويلة الأمد دون اكتشافها بسهولة.
وتستغل هذه الحملة الأحداث الجيوسياسية الأخيرة لخداع الضحايا ودفعهن لفتح ملفات .LNK خبيثة مموهة على هيئة صور أو مقاطع فيديو متعلقة بالاحتجاجات.
كيف يستخدم القراصنة الهندسة الاجتماعية للإيقاع بالضحايا؟
يعتمد المهاجمون بشكل أساسي على تقنيات الهندسة الاجتماعية المتطورة، حيث يتم دمج الملفات الخبيثة مع وسائط حقيقية وتقارير باللغة الفارسية تقدم تحديثات من المدن الإيرانية.
يهدف هذا التأطير المؤيد للاحتجاجات إلى زيادة المصداقية وجذب الإيرانيين الناطقين بالفارسية الذين يبحثون عن أخبار ومعلومات حول الحراك الشعبي.
تكتيكات الوصول الأولي
على الرغم من أن طريقة الوصول الأولي الدقيقة غير مؤكدة تماماً، إلا أن الخبراء يرجحون الاعتماد على:
- حملات التصيد الإلكتروني الموجهة (Spear-phishing).
- بناء علاقة ثقة مع الضحايا عبر الإنترنت لفترة زمنية قبل إرسال الحمولة الخبيثة.
- استخدام أرشيفات RAR تدعي احتواءها على معلومات حصرية حول الاحتجاجات.
من يقف وراء هجمات التجسس هذه؟
تشير التحليلات التقنية إلى أن مجموعة تهديد متحالفة مع إيران هي المسؤولة عن حملة CRESCENTHARVEST، على الرغم من عدم نسبها رسمياً لجهة محددة حتى الآن.
ويُذكر أن مجموعات قرصنة إيرانية أخرى مثل Charming Kitten و Tortoiseshell لها تاريخ طويل في استخدام هجمات الهندسة الاجتماعية المعقدة، والتي تتضمن انتحال شخصيات وهمية وتنمية علاقات مع الأهداف لسنوات أحياناً قبل تنفيذ الهجوم.
وتعد هذه الحملة الثانية من نوعها التي يتم تحديدها وهي تلاحق أفراداً محددين في أعقاب الاحتجاجات الواسعة، مما يؤكد أهمية الحذر الرقمي الذي دائماً ما نوصي به في تيكبامين عند التعامل مع الملفات مجهولة المصدر.
