قراصنة إيرانيون يستهدفون منظمات عالمية بباب خلفي متطور

رصد باحثون أمنيون مجموعة قراصنة قومية، تُعرف باسم (الهريرة الساحرة) Charming Kitten أو (الفوسفور) Phosphorus أو (تي أي 53) TA53، أو (أي بي تي 35/42) APT35/42، وهي تنشر برنامجًا ضارًا غير معروف سابقًا باسم (سبونسور) Sponsor في 34 شركة حول العالم.

وأوضح الباحثون أن واحدة من الميزات البارزة للباب الخلفي لبرنامج (سبونسور) الضار هي أنه يخفي ملفات التكوين غير الضارة على قرص الضحية بحيث يمكن نشرها سرًّا باستخدام البرامج النصية المجمعة الضارة، مما يؤدي إلى تجنب الكشف بنجاح.

وامتدت الحملة التي اكتشفها باحثو شركة (إسيت) ESET لأمن المعلومات خلال المدة الممتدة من آذار/ مارس 2021 إلى حزيران/ يونيو 2022، واستهدفت المؤسسات الحكومية، ومؤسسات الرعاية الصحية العاملة في الخدمات المالية، والهندسة، والتصنيع، والتقنية، والقانون، والاتصالات والمزيد.

وكان من بين أكثر الدول استهدافًا في الحملة التي لاحظتها (إسيت)، هي: إسرائيل، والبرازيل، والإمارات العربية المتحدة.

وتفيد تقارير (إسيت) أن مجموعة (الهريرة الساحرة) استغلت في المقام الأول CVE-2021-26855، وهي ثغرة أمنية في تنفيذ التعليمات البرمجية من بعد لخدمة (مايكروسوفت إكستشينج) Microsoft Exchange، للوصول الأولي إلى شبكات أهدافها.

ومن هناك، استخدم القراصنة العديد من الأدوات المفتوحة المصدر التي تسهل استخراج البيانات، ومراقبة النظام، والتسلل في الشبكة، وتساعد أيضًا المهاجمين في الحفاظ على الوصول إلى أجهزة الحاسوب المخترقة.

وشهدت (إسيت) أيضًا إصدارًا ثانيًا من (سبونسور)، يتميز بتحسينات في التعليمات البرمجية وطبقة من التخفي تجعله يظهر كأداة تحديث.

ومع أن عناوين بروتوكول الإنترنت IP التي استُخدمت في هذه الحملة لم تعد متصلة بالإنترنت، فقد شاركت (إسيت) (مؤشرات قرصنة) IOCs كاملة للمساعدة في الحماية من التهديدات المستقبلية المحتملة التي تعيد استخدام بعض الأدوات أو البنية التحتية التي نشرتها (الهريرة الساحرة) في تلك الحملة.