هجمات إيرانية جديدة تستهدف الكيان الصهيوني ببرمجية خلفية متطورة “مودي فايبر”

ضربات دقيقة أم تصعيد رقمي؟.. استهداف إيران لمقر مايكروسوفت في إسرائيل يثير تساؤلات حول أمن البنية التحتية السيبرانية
ضربات دقيقة أم تصعيد رقمي؟.. استهداف إيران لمقر مايكروسوفت في إسرائيل يثير تساؤلات حول أمن البنية التحتية السيبرانية
شارك هذا الخبر

كشفت شركة ESET للأمن السيبراني عن حملة هجومية جديدة تنفذها جهة فاعلة إيرانية تابعة للدولة، تستهدف عبر هجمات تصيد مُصممة بدقة كيانات إسرائيلية في قطاعات متنوعة تشمل الأوساط الأكاديمية والهندسة والحكومة المحلية والتصنيع والتكنولوجيا والنقل والمرافق. تتميز هذه الحملة باستخدام برمجية خلفية (Backdoor) جديدة لم تُرصد سابقاً أُطلِق عليها اسم MuddyViper، مما يشير إلى تطور ملحوظ في القدرات التخريبية للمهاجمين.

جهة الهجوم: مجموعة “مودي ووتر” الإيرانية والنمط التكتيكي المتبع

نُسبت هذه الأنشطة إلى مجموعة القرصنة الإيرانية المعروفة باسم MuddyWater (وتُعرف أيضاً بـ Mango Sandstorm أو TA450)، وهي مجموعة يُعتقد أنها تابعة لوزارة الاستخبارات والأمن الإيرانية (MOIS). تمتد سجلات هجمات هذه المجموعة لسنوات، حيث تستهدف بشكل تقليدي البنية التحتية الإسرائيلية عبر وسائل مثل تصيد البريد الإلكتروني واستغلال الثغرات المعروفة في أنظمة VPN لنشر أدوات إدارة عن بعد مشروعة. كما اشتهرت المجموعة بهجماتها التخريبية باستخدام برامج فدية مثل “PowGoop”. في هذه الحملة الأخيرة، تم رصد استخدام محمّل (Loader) جديد أُطلق عليه اسم Fooder، مهمته فك تشفير وتنفيذ برمجية “MuddyViper” الخلفية.

برمجية “مودي فايبر” الخلفية: قدرات متقدمة لجمع البيانات

كشف تحليل ESET أن البرمجية الخلفية الجديدة “MuddyViper”، المكتوبة بلغة C/C++، تمنح المهاجمين قدرات واسعة على الأنظمة المصابة. تدعم البرمجية 20 أمراً مختلفاً تتيح جمع معلومات النظام، وتنفيذ الملفات والأوامر، ونقل البيانات، وسرقة بيانات اعتماد تسجيل الدخول في نظام Windows ومعلومات المتصفحات. لتعزيز التخفي، تتضمن بعض عينات محمّل “Fooder” تأخيراً زمنياً في التنفيذ وقد تم تمويهها لتبدو كلعبة “Snake” الكلاسيكية. كما تم رصد استخدام البرمجية لنشر وكلاء نفق عكسي (reverse tunneling proxies) وأداة مفتوحة المصدر لسرقة بيانات المتصفحات.

ترسانة أدوات متكاملة: من سرقة البيانات إلى الخداع

لا تقتصر الحملة على البرمجية الخلفية الرئيسية، بل تستخدم مجموعة معقدة من الأدوات المساعدة التي تُظهر تطوراً في الأهداف:

  • VAXOne: برمجية خلفية أخرى تتخفى في صورة برامج مشروعة مثل Veeam وAnyDesk.

  • CE-Notes و Blub: أدوات متخصصة في سرقة بيانات المتصفحات، بما في ذلك كلمات المرور المحفوظة، من متصفحات مثل Chrome وEdge وFirefox.

  • LP-Notes: برنامج خبيث لسرقة بيانات الاعتماد عن طريق خداع المستخدمين بعرض نافذة أمان Windows مزيفة.

يشير هذا التنوع والتخصص في الأدوات إلى نضج عملياتي لمجموعة “MuddyWater”، مع تركيز واضح على تعزيز القدرات التخفي والاستمرارية وجمع البيانات الحساسة بأقصى قدر من الكفاءة.

تسريبات “القطة الساحرة” تكشف الهيكل البيروقراطي للقرصنة الإيرانية

تأتي الكشفية عن هذه الحملة في أعقاب تسريبات ضخمة لوثائق داخلية لمجموعة قرصنة إيرانية أخرى تُعرف باسم APT35 أو “القطة الساحرة” (Charming Kitten)، نُشرت على GitHub من قبل جماعة مجهولة تسمى “KittenBusters”. كشفت هذه التسريبات، التي وُصفت بأنها “خريطة كاملة للفرع الإلكتروني للوحدة 1500 التابعة للحرس الثوري الإيراني”، طبيعة هذه العمليات التي تشبه المؤسسة البيروقراطية أكثر من جماعة القرصنة اللامركزية. حيث تُظهر الوثائق هيكلاً قيادياً واضحاً، ومقاييس أداء، وسجلات نشاط يومية، واستغلالاً منظماً لشركات واجهة. من بين الكشوفات المهمة أيضاً تسريب الكود المصدري الكامل لبرمجية BellaCiao الخبيثة، مما يسلط الضوء على مدى تنظيم واستدامة الجهاز الاستخباراتي الإلكتروني التابع لإيران.

وسوم
محمد طاهر
محمد طاهر
المقالات: 981

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة