كشفت تقارير أمنية حديثة عن حملات تجسس إلكتروني متطورة تستهدف قطاعات الطيران والفضاء والدفاع على مستوى العالم، تقف خلفها مجموعة تهديدات مدعومة من إيران تُعرف بـ UNC1549. تستخدم المجموعة أساليب مزدوجة متقنة، تجمع بين حملات التصيد الاحتيالي المصممة بعناية واستغلال العلاقات الموثوقة بين الأهداف الرئيسية ومورديها من الأطراف الثالثة.
يُظهر هذا النهج براعة تكتيكية ملحوظة، حيث تركز المجموعة بشكل خاص على استغلال نقاط الضعف لدى الموردين لتشكيل نقطة انطلاق نحو الأهداف الأساسية الأكثر تأميناً. تهدف هذه الاستراتيجية المعقدة إلى اختراق الأنظمة الحساسة وسرقة المعلومات القيمة.
UNC1549: تهديدات سيبرانية متطورة تستهدف الفضاء والدفاع
منذ منتصف عام 2024، بدأت مجموعة UNC1549 في شن هجماتها الممنهجة، مستفيدة من مزيج فريد من التقنيات. تشمل استراتيجية الوصول الأولي للمجموعة إرسال رسائل بريد إلكتروني تصيدية موجهة بدقة، مصممة خصيصاً لتناسب أدوار واهتمامات المستلمين، بهدف الحصول على موطئ قدم داخل الشبكات المستهدفة.
بمجرد اختراق الشبكة، يلجأ المهاجمون إلى تقنيات حركة جانبية مبتكرة. من بين هذه التقنيات، سرقة الكود المصدري للضحايا لاستخدامه في صياغة حملات تصيد احتيالي جديدة، تعتمد على نطاقات شبيهة لتجاوز بروتوكولات الأمان. لا يتوقف الأمر عند هذا الحد، حيث تسيء المجموعة استغلال أنظمة التذاكر الداخلية لجمع بيانات الاعتماد من الموظفين المطمئنين.
أدوات مخصصة وتقنيات بقاء متطورة
وفقاً لمحللي أمن المعلومات في Google Cloud، تقوم UNC1549 بنشر أدوات برمجية مخصصة تم تصميمها خصيصاً لتجنب الكشف وتعقيد تحقيقات الطب الشرعي. كل حمولة لاحقة للبرمجيات الخبيثة تم اكتشافها كانت تحمل تجزئة فريدة، حتى عندما تم العثور على عينات متعددة من نفس نوع الباب الخلفي داخل شبكة الضحية الواحدة.
هذا المستوى من التخصيص يعكس الموارد الكبيرة التي تمتلكها المجموعة والتزامها بالأمن التشغيلي. كما أن المجموعة برعت في استخدام تقنية “اختطاف ترتيب البحث” (Search Order Hijacking) لتحقيق بقاء البرمجيات الخبيثة على المدى الطويل.
تتضمن هذه التقنية وضع وحدات تحميل ديناميكية (DLLs) خبيثة داخل مجلدات تثبيت البرامج الشرعية. يسمح هذا للمهاجمين بتنفيذ خبيث بشكل مستمر عندما يقوم المسؤولون أو المستخدمون بتشغيل البرنامج الشرعي. تم استغلال هذه الثغرة بنجاح في حلول مؤسسية شائعة، بما في ذلك برامج من FortiGate, VMWare, Citrix, Microsoft, و NVIDIA.
الباب الخلفي TWOSTROKE: سلاح متطور
يُعد الباب الخلفي TWOSTROKE مثالاً بارزاً على هذا التطور التقني. هذا الباب الخلفي المخصص، المكتوب بلغة C++، يتواصل عبر اتصالات TCP مشفرة بواسطة SSL على المنفذ 443، مما يجعله صعب التمييز عن حركة المرور الشرعية.
عند التشغيل، يقوم TWOSTROKE بإنشاء معرف فريد للضحية عن طريق استرداد اسم الكمبيوتر المؤهل بالكامل (FQDN) باستخدام الدالة GetComputerNameExW من واجهة برمجة تطبيقات Windows. ثم يتم تشفير هذا الاسم باستخدام مفتاح ثابت، وتحويله إلى سداسي عشري بحروف صغيرة، واستخراج الأحرف الثمانية الأولى بعد عكسها لتكوين معرف البوت.
تتيح مجموعة الأوامر الخاصة بـ TWOSTROKE إمكانيات واسعة بعد الاختراق، بما في ذلك جمع معلومات النظام، والتحميل الديناميكي لوحدات DLL، والتلاعب بالملفات، ووظائف الباب الخلفي المستمرة. تتلقى البرمجيات الخبيثة حمولات مشفرة بصيغة سداسية عشرية من خوادم التحكم، تحتوي على أوامر متعددة مفصولة بـ “@##@”، وتشمل عمليات مثل تحميل الملفات، وتنفيذ أوامر shell، وسرد الدلائل، وحذف الملفات.
تركز حملة UNC1549 على البقاء الطويل الأمد والاستعداد لاستجابة المحققين. تقوم المجموعة بشكل استراتيجي بنشر أبواب خلفية تظل كامنة لأشهر، وتنشط فقط بعد محاولة الضحايا معالجة المشكلة.
يعمل هذا النهج، بالاقتران مع الاستخدام المكثف لـ SSH reverse shells والنطاقات التي تحاكي صناعات الضحايا، على خلق بيئة تشغيلية صعبة للغاية للمدافعين عن الأمن السيبراني.