حذرت إسرائيل، في تطور أمني حديث، من حملة تصيد احتيالي متقدمة تستهدف الأفراد العاملين في قطاعات الأمن والدفاع. وتستغل هذه الحملة رسائل عبر تطبيق واتساب، لتبدو وكأنها صادرة عن جهات رسمية موثوقة، بهدف دعوة المستهدفين لحضور مؤتمرات مهنية. وتحتوي هذه الرسائل على روابط مختصرة تقود إلى مواقع إلكترونية وهمية مصممة لسرقة المعلومات الشخصية، وفي بعض الحالات، لتوزيع ملفات ضارة. وتظهر الحملة دلالات واضحة على تخطيط دقيق، ولا تبدو عشوائية، مع وجود ارتباطات معروفة بمجموعات تهديد سيبراني.
تتمحور هذه العملية حول استخدام الرابط المختصر msnl[.]ink، وهو جزء من نظام أوسع لتقصير الروابط تتابعه فرق الأمن السيبراني منذ فترة. وتبدو الرسائل المزيفة احترافية وتستخدم مواضيع المؤتمرات لإضفاء المصداقية عليها. عند النقر على الرابط، يتم توجيه الضحايا إلى مواقع مزيفة تحاول جمع بياناتهم الشخصية والمهنية، حيث تبدو هذه المواقع مشابهة لصفحات تسجيل المؤتمرات الحقيقية، مما يصعب على الأفراد اكتشاف الخطر.
هجمات التصيد الاحتيالي المتقدمة تستهدف القطاع الأمني
تمكن محلل الأمن السيبراني، إيدان تراب، من تحديد هذه الحملة أثناء تتبع أنماط البنية التحتية المرتبطة بمجموعة APT42، المعروفة أيضاً باسم “Charming Kitten”. وتشير الحملة إلى ارتباطات قوية بهذه المجموعة المدعومة من قبل إيران، وذلك من خلال الإعدادات التقنية والأساليب المستخدمة. وأشار تراب إلى أن نظام تقصير الروابط يكشف عن خيارات تصميم متعمدة تشير إلى مهاجمين ذوي خبرة، وليس لصوص إنترنت انتهازيين.
تكشف البنية التحتية وراء هذه الهجمات عن تفاصيل تقنية رئيسية حول كيفية عمل المجموعة. ويشير تحليل msnl[.]ink إلى تشغيله على خوادم Microsoft-IIS/10.0، المستضافة في دول متعددة تشمل هولندا وألمانيا ومولدوفا وإيطاليا.
يستخدم هذا الإعداد أنظمة تقصير روابط مخصصة ذات أنماط متسقة عبر نطاقات .ink و .info. وهذا النوع من البنية التحتية يتطلب وقتاً وموارد لبنائه، مما يدل على أن المهاجمين يتمتعون بتمويل وتنظيم جيدين. كما أن اختيار الاستضافة عبر بلدان مختلفة يجعل من الصعب على جهات إنفاذ القانون إحباط العملية.
هيكل تقني وإسناد للتهديد
يأتي ربط الحملة بمجموعة APT42 من خلال مطابقة أنماط البنية التحتية التي تتبعها فرق البحث على مر الزمن. ويستخدم نظام تقصير الروابط بصمات خوادم محددة وخدمات استضافة تتطابق مع حملات سابقة مرتبطة بهذه المجموعة. ويعيد المهاجمون استخدام نفس خدمات DDNS وأنماط تسمية النطاقات، مما يخلق توقيعاً رقمياً يمكن لفرق الأمن تتبعه.
ويعد إعداد خوادم Microsoft-IIS متسقاً عبر نطاقات متعددة في الشبكة، مما يوحي بإدارة مركزية بدلاً من عمليات منفصلة. وتساعد هذه المؤشرات التقنية فرق الأمن على تحديد الهجمات الجديدة من نفس المجموعة وحظرها قبل وصولها إلى المزيد من الضحايا. يمكن للمؤسسات استخدام هذه المعلومات لتحديث أدواتها الأمنية وتدريب الموظفين على اكتشاف أنواع محاولات التصيد الاحتيالي المحددة هذه.