كشف خبراء الأمن السيبراني عن حملة هجمات إلكترونية جديدة وخطيرة تستهدف أجهزة آيفون باستخدام أداة DarkSword المسربة لسرقة البيانات الحساسة.
ما هي تفاصيل استهداف أجهزة آيفون ببرمجية DarkSword؟
أفادت تقارير حديثة من شركة التحليلات الأمنية Proofpoint أن مجموعة قراصنة مدعومة من روسيا تُعرف باسم TA446 بدأت في استخدام أدوات اختراق مسربة لاستهداف أنظمة التشغيل الخاصة بشركة آبل.
وتشير المعلومات التي قمنا بتحليلها في تيكبامين إلى أن هذه المجموعة، المعروفة أيضاً بأسماء متعددة مثل COLDRIVER و Star Blizzard، مرتبطة بشكل وثيق بأجهزة الاستخبارات والأمن الروسية.
كيف تتم عملية الاختراق والسرقة؟
تعتمد هذه العصابة الإلكترونية على تقنيات التصيد الاحتيالي الموجه (Spear-Phishing) شديدة التعقيد. حيث تقوم بإرسال رسائل بريد إلكتروني مزيفة تدعي أنها دعوات رسمية للنقاش.
- انتحال صفة مؤسسات كبرى وموثوقة مثل المجلس الأطلسي.
- استخدام مستندات PDF وهمية كطُعم للإيقاع بالضحايا.
- توجيه متصفحات أجهزة آيفون بذكاء نحو خوادم الاختراق المخصصة.
- نشر برمجية GHOSTBLADE المتطورة لسرقة البيانات وتعدينها.
من هم أبرز ضحايا هذه الهجمات السيبرانية؟
تم رصد إطلاق هذه الحملة الخبيثة من حسابات مخترقة بتاريخ 26 مارس 2026. وكان من بين أبرز المستهدفين شخصيات سياسية بارزة ومعارضون، مما يؤكد الطبيعة الاستخباراتية لهذه الهجمات.
تستخدم هذه الحملة نظام تصفية متقدم للغاية على الخوادم (Server-side filtering). يهدف هذا النظام إلى ضمان توجيه متصفحات أجهزة آبل المحمولة فقط إلى الصفحة المخصصة لاستغلال ثغرة DarkSword.
تطور خطير في أساليب قراصنة TA446
لم يسبق أن رصد الباحثون استهداف هذه المجموعة لحسابات iCloud أو أجهزة آيفون بشكل مباشر. لكن تسريب أدوات الاختراق منحهم قدرات جديدة وغير مسبوقة لاختراق بيئة آبل المغلقة.
كما لاحظ فريق تيكبامين زيادة هائلة في حجم الرسائل الاحتيالية خلال الأسبوعين الماضيين. وتؤدي هذه الرسائل غالباً إلى تثبيت باب خلفي (Backdoor) يُعرف باسم MAYBEROBOT عبر إرفاق ملفات مضغوطة محمية بكلمة مرور.
ما هي الأدلة التقنية على استخدام أداة DarkSword؟
أظهرت التحليلات التقنية المعمقة على منصة فحص الملفات وجود برامج تحميل مرتبطة بحزمة DarkSword. وتشير هذه الملفات بوضوح إلى نطاقات خبيثة تابعة للقراصنة تم إعدادها مسبقاً.
وتشمل المكونات الخبيثة التي تم العثور عليها وتحليلها ما يلي:
- أدوات إعادة التوجيه الأولية للضحايا.
- برامج متخصصة في تحميل الثغرات واستغلالها.
- أدوات تنفيذ التعليمات البرمجية عن بُعد (RCE).
- مكونات برمجية لتجاوز رموز المصادقة (PAC).
كيف تحمي بياناتك من هذه التهديدات المتقدمة؟
على الرغم من عدم وجود دليل قاطع حتى الآن على نجاح القراصنة في تجاوز بيئة الحماية (Sandbox) الخاصة بنظام iOS، إلا أن خطر سرقة بيانات الاعتماد لا يزال قائماً.
- احرص دائماً على تحديث جهازك إلى أحدث إصدار أمني متاح.
- تجنب فتح الروابط أو المرفقات من مرسلين غير معروفين.
- قم بتفعيل المصادقة الثنائية (2FA) لجميع حساباتك الحساسة.
يُعتقد أن الهدف الرئيسي لهذه الحملة المستمرة هو جمع البيانات الاستخباراتية الدقيقة وسرقة بيانات الاعتماد الخاصة بالشخصيات المستهدفة، مما يوجب أخذ أقصى درجات الحيطة والحذر.
