حددت دائرة الأمن السيبراني الوطنية الإسرائيلية (INCD) في الأسابيع الأخيرة حملة تصيد احتيالي واسعة النطاق تستهدف المنظمات، مستخدمةً طريقة تبدو ذات مصداقية عالية للمتلقين. تُعزى محاولات الهجوم المنهجية إلى مجموعة الهجوم المرتبطة بإيران، MuddyWater. تم نشر تقرير خاص حول الحملة اليوم وسيتم تقديمه خلال أسبوع الأمن السيبراني (CyberWeek) في جامعة تل أبيب.
كجزء من الهجمات، يخترق المهاجمون حسابات البريد الإلكتروني الشرعية للمنظمات ويستخدمونها لتوزيع رسائل تصيد تبدو أصلية – تتميز بلغة عبرية صحيحة، ومحتوى مصمم خصيصًا لمجال نشاط المنظمة، ومرفقات بأسماء ملفات ذات صلة. تتضمن الرسائل مستند Word خبيث، وبمجرد أن ينقر المستخدم على “تمكين المحتوى”، فإن الأداة الخبيثة تسيطر على محطة العمل. يتم تخصيص الرسائل لتتناسب مع بيئة المنظمة، بما في ذلك استخدام شعارات وتوقيعات ومستندات رسمية المظهر.
عند فتح الملف، يتم تثبيت أداة هجوم مخصصة تُعرف باسم BlackBeard على نقطة النهاية. يسمح هذا البرمجية الخبيثة، التي تعتبر حديثة نسبيًا، للمهاجم بالسيطرة الكاملة على النظام، ورسم خرائط للبيئة، وتجاوز منتجات الأمان، وتنزيل مكونات هجوم إضافية حسب الحاجة. منذ لحظة الإصابة، يتم استغلال حساب البريد الإلكتروني للمستخدم المخترق لمزيد من نشر الهجوم داخل المنظمة وخارجها، ليصل إلى آلاف المستلمين. تستخدم البرمجية الخبيثة تقنيات استمرارية خفية تسمح لها بالبقاء نشطة دون الظهور في المواقع التي تراقبها أدوات الأمان عادةً. هذا النمط التشغيلي متوافق للغاية مع تكتيكات MuddyWater المعروفة وقد لوحظ في هجمات سابقة في إسرائيل.
تركز MuddyWater، التي تعمل تحت إشراف وزارة الاستخبارات الإيرانية، على جمع المعلومات وإنشاء موطئ قدم طويل الأمد داخل شبكات الأهداف. في السنوات الأخيرة، حاولت المجموعة باستمرار مهاجمة كيانات إسرائيلية، بما في ذلك الحكومة والرعاية الصحية والتعليم والشركات الصغيرة والمتوسطة. تجمع المجموعة بين الأدوات المطورة ذاتيًا والبنى التحتية الموزعة للقيادة والتحكم. كما تم تحديد محاولات هجومها في دول أخرى، بما في ذلك تركيا وأفغانستان وباكستان والإمارات العربية المتحدة والعراق والمملكة المتحدة وأذربيجان والولايات المتحدة ومصر ونيجيريا.
تدعو دائرة الأمن السيبراني الوطنية الإسرائيلية المنظمات في جميع أنحاء إسرائيل إلى ممارسة أقصى درجات اليقظة، وتنفيذ عدة تدابير وقائية حاسمة بصرامة، ومراجعة مؤشرات الاختراق (IOCs) المنشورة وإجراءات التخفيف الموصى بها.
وفقًا لباحثي الأمن السيبراني في INCD، مؤلفي التقرير: “توضح الهجمات الأخيرة مرة أخرى المحاولات المستمرة من قبل جهات فاعلة إيرانية للتسلل إلى الشبكات الإسرائيلية وإقامة وجود طويل الأمد داخلها. انتحال الشخصية، واللغة الدقيقة، والملفات ذات المظهر الشرعي، كلها مصممة لتجاوز الغريزة البشرية ولإغراء المستخدمين بفتح المرفق الخبيث. يمكن أن يتصاعد اختراق ناجح واحد من هذا النوع بسرعة ليصبح هجومًا واسع النطاق عبر منظمات بأكملها. لهذا السبب تواصل INCD إصدار التحديثات والتحذيرات والإرشادات العملية للمنظمات لتقليل المخاطر وتعزيز المرونة السيبرانية الوطنية.”
انقر هنا للاطلاع على التقرير الكامل