استخبارات الخصم

نظرة من الداخل على عمليات APT35 المرتبطة بالحرس الثوري الإيراني: Ep1 و Ep2

قام فريق TRIAD التابع لشركة CloudSek بتحليل المستندات الداخلية المسربة من APT35 (Charming Kitten) المرتبطة بإيران، وكشف عن هيكلها وأدواتها وعمليات التجسس الخاصة بها. استهدفت المجموعة - المرتبطة بالحرس الثوري الإيراني - القطاعات الحكومية والقانونية والطاقة والمالية في جميع أنحاء الشرق الأوسط والولايات المتحدة وآسيا من خلال التصيد الاحتيالي واستغلال CVE وهجمات سلسلة التوريد. يكشف التسرب عن شبكة التجسس السيبراني الإيرانية المنظمة القادرة على الاستمرار على المدى الطويل وسرقة البيانات ومخاطر الأمن القومي

October 7, 2025

min

Table of Content

Example H2

ملخص تنفيذي

قامت CloudSek بتحليل مجموعة بيانات يبدو أنها تسرب موثوق للمواد التشغيلية لـ Charming Kitten (APT35)، والتي تحتوي على وثائق داخلية باللغة الفارسية، وقوائم الموظفين، وتفاصيل الأدوات، وتقارير الحملة. وهو يوثق الفرق المنسقة للاختراق وتطوير البرامج الضارة والهندسة الاجتماعية واختراق البنية التحتية، بما في ذلك الاستغلال السريع لـ CVE-2024-1709 والتلاعب بنظام DNS لجهاز التوجيه الشامل. يشمل الضحايا القطاعات الحكومية والقانونية والأكاديمية والطيران والطاقة والمالية في جميع أنحاء الشرق الأوسط، لكن المناطق ذات الاهتمام تشمل الولايات المتحدة وآسيا أيضًا. تتيح العمليات المنهجية الثبات على المدى الطويل وهيمنة Active Directory والتسلل الشامل. تعرض Tradecraft أجهزة الصراف الآلي المخصصة والتهرب من EDR ومحاور سلسلة التوريد والبنية التحتية المتطورة للتصيد الاحتيالي. ويسلط الكشف الضوء على قدرة التجسس الإقليمية المنظمة لإيران والمخاطر الحادة لسلسلة التوريد والأمن القومي من الجهات الفاعلة التابعة للحرس الثوري الإيراني.

‍

التحليل

الخلفية

Charming Kitten، المعروفة أيضًا باسم APT35 و Magic Hound و Phosphorus، هي مجموعة تجسس إلكتروني يُعتقد أنها تعمل خارج إيران.
في أواخر عام 2024، تم اكتشاف أنهم ينشرون متغير C ++ من برنامج ضار معروف يسمى BellaCiao.
في أكتوبر 2025، كلاود سيكعثرت TRIAD التابعة لـ TRIAD على مستودع github وحللته يُزعم أنه يحتوي على وثائق تشغيلية داخلية مسربة من Charming Kitten، وهي مجموعة APT تابعة للحرس الثوري الإيراني.

الوثائق المسربة باللغة الفارسية، لذلك كان استهلاك المعلومات من هذا التسريب يمثل تحديًا للمجتمع الأوسع.

‍

لتسهيل الأمر على المتحدثين باللغة الإنجليزية، قمنا بتقييم شرعية التسرب والهيكل التنظيمي لمجموعة APT وتفاصيلها التشغيلية من التسرب.

‍

ملاحظة: سيتم تحديث هذه المدونة عندما تتوفر المزيد من المعلومات، حيث ذكر ممثل التهديد أنه يخطط لتسريب المزيد من المعلومات في الأيام المقبلة.

‍

هل هذا التسرب شرعي؟

مؤشرات الثقة العالية

لغة فارسية وثائق داخلية (أكثر من 100 ملف)
تقويم إيراني الاستخدام (تواريخ جلالي: 1402، 1403)
ساعات التشغيل التوافق مع المنطقة الزمنية لطهران
اختيار الهدف يتماشى مع أولويات الاستخبارات الإيرانية
البنية التحتية يطابق أنماط APT35 المعروفة
ترادكرافت متوافقة مع نصائح القطط الساحرة
أسماء الموظفين (اصطلاحات التسمية الفارسية)

تداخلات القطط الساحرة المعروفة APT35/

الهندسة الاجتماعية التركيز (حملات التصيد الاحتيالي)
حصاد أوراق الاعتماد أفضلية
استهداف الشرق الأوسط (الأردن، الإمارات العربية المتحدة، المملكة العربية السعودية)
الثبات على المدى الطويل أكثر من التحطيم السريع
تطوير الأدوات أجهزة RAT والمرافق المخصصة

‍

الهيكل التنظيمي - APT35 المعروف أيضًا باسم القطة الساحرة

الموظفين التشغيليين

1. مهدي شريفي (مهدي)

الدور: مدير مكتب/رئيس إداري (ريس ديتر)
قسم: العقود الإدارية (دارى ريرادي)
الأدلة: سجلات الجداول الزمنية
نمط العمل: ساعات العمل العادية مع العمل الإضافي
رقم الشارة: 9235-1

2. إسماعيل حيدري (إسماعيل حيدري)

الدور: المشغل/ المشغل الفني (#Ar)
قسم: العقود الإدارية
الأدلة: سجلات الجداول الزمنية
نمط العمل: أكثر من 202 ساعة شهريًا، وقت إضافي كبير
رقم الشارة: 9235-2
ملاحظات: يشير مؤشر عبء العمل المرتفع إلى دور فني رفيع

‍

3. وحيد مولوي (محمد مولاي)

الدور: المشغل/ المشغل الفني (#Ar)
قسم: العقود الإدارية
الأدلة: سجلات الجداول الزمنية
نمط العمل: 165+ ساعة شهريًا مع أيام الإجازة
رقم الشارة: 9235-4 (ملاحظة: الشارة #3 غير موجودة في المستندات)

‍

4. أمير حسين أمينجاد (أمير حسين أمين نجاد)

الدور: المشغل/ المشغل الفني (#Ar)
قسم: العقود الإدارية
الأدلة: سجلات الجداول الزمنية
نمط العمل: أكثر من 164 ساعة شهريًا، إجازات متعددة مصرح بها
رقم الشارة: 9235-7

فريق العمليات الفنية

5. علي (ني)

الدور: جهاز اختبار الاختراق/مشغل الأمن الهجومي
التركيز الأساسي: حملات حقن SQL، أهداف إسرائيلية
الأدلة: التقرير الشهري (02120dcf3b263702028a0441881d339ee4ff8e15)
فترة العمل: بهمان 1402 (يناير - فبراير 2024)
إجمالي الساعات: 44 ساعة شهريًا
التخصصات:
- استغلال حقن SQL (SqlMap)
- عمليات المسح الشامل
- استهداف البنية التحتية الإسرائيلية
- استغلال المودم (أجهزة GoAhead)
- معالجة خادم DNS
المشاريع الرئيسية:
- استغلال موقع simania.co.il
- حل وسط على موقع bonimonline.co.il
- حملة هجوم المودم الشامل (أكثر من 580 جهازًا)
- البحث والاستغلال في مجال مكافحة التطرف العنيف
الكفاءة: خريطة الموقع، التجشؤ، المتطفل، التعداد السكاني، Acunetix

‍

6. محمد (محمد)

الدور: أخصائي اختبار الاختراق/أخصائي أمن تطبيقات الويب
الأدلة: التقرير الشهري (4037e9382a99fd96fe93eb0fd4380ea695 bd3a)
فترة العمل: داي 1402 (ديسمبر 2023 - يناير 2024)
إجمالي الساعات: 55 ساعة شهريًا
التخصصات:
- استغلال تطبيقات الويب
- أبحاث ضعف نظام إدارة المحتوى
- تطوير أداة التشويه التلقائي
- استهداف موقع إسرائيلي
المشاريع الرئيسية:
- حملة exite.co.il المستهدفة
- استغلال موقع souz.co.il
- عمليات هدف التوفاستوري
- استطلاع IP العكسي
- تطوير التشغيل الآلي للاستغلال
الكفاءة: تطوير الاستغلال المخصص، عناوين URL الاحتياطية، Bing dorking، منتديات الاختراق أوسينت

‍

7. حسين (حسين)/HSN

الدور: مطور برامج خبيرة/مشغل الفريق الأحمر
الأدلة: التقارير اليومية (مجلد HSN2، 1403-05-27 حتى 1403-06-06)
فترة العمل: مورداد-شاهريفار 1403 (يوليو - سبتمبر 2024)
إجمالي الساعات: تم توثيق أكثر من 26 ساعة (إعداد تقارير جزئية)
التخصصات:
- تطوير البرامج الضارة المخصصة (مشروع RTM)
- استغلال الدليل النشط
- مشاركة أدوات تعداد المجلدات
- إعداد البنية الأساسية لنظام التشغيل Windows Server
- تطوير اللودر
المشاريع الرئيسية:
- مشروع آر تي إم: أداة الإدارة عن بُعد
  - عداد مجلد المشاركة لبيئات AD
  - قدرات إعادة الكتابة الثنائية
  - جمع معلومات النظام
  - وظيفة الوصول إلى شل
  - تنفيذ مخصص قائم على المحول
بيئة تقنية:
- إعداد مختبر اختبار Active Directory
- ويندوز سيرفر 2012 R2
- تكوين وحدة تحكم المجال
- بيئة VM متعددة الآلات
تم توثيق التحديات:
- بنية الوظائف المعقدة في RTM
- مشاكل رؤية مستخدم AD
- دمج وحدات متعددة

‍

8. ماجد (مجيد)/MJD

الدور: مدير حملة الهندسة الاجتماعية/أخصائي البنية التحتية
الأدلة: تقارير يومية شاملة (مجلد MJD، 1403-05-27 حتى 1403-07-24)
فترة العمل: مورداد-مهر 1403 (يوليو-أكتوبر 2024)
إجمالي الساعات: أكثر من 150 ساعة شهريًا (180 حضور، 150 ساعة تشغيلية)
التخصصات:
- إدارة حملات وسائل التواصل الاجتماعي
- تطوير البنية التحتية للتصيد الاحتيالي
- الاستحواذ على النطاق/الاستضافة
- إعداد نظام الدفع (العملة المشفرة)
- إنشاء المحتوى والجدولة
- البحث والاستحواذ على لوحة الرسائل القصيرة
- تصميم قالب التجارة الإلكترونية
- البنية التحتية لـ VPN/إخفاء الهوية
المشاريع الرئيسية:
- مشروع الحملة: عمليات التصيد الاحتيالي متعددة المنصات
  - إعلانات فيسبوك (حساب kaelajnz)
  - حملات تويتر/إكس
  - عمليات إينستاجرام
  - إعداد إعلانات Google
  - إعلانات Microsoft (حسابات متعددة)
  - قنوات تيليجرام (تستهدف الإمارات العربية المتحدة)
- تطوير البنية التحتية:
  - موقع التجارة الإلكترونية aecars.store
  - عمليات شراء النطاقات (متغيرات sunrapid.com وlydston.com)
  - Cloudflare + استضافة رخيصة
  - إعداد البريد الإلكتروني للأعمال
  - الحصول على خدمات VPN
- عمليات OSINT:
  - استطلاع منظمة IASA التعليمية
  - تحديد الهوية المستهدفة والتوثيق
- وظائف الدعم:
  - تقييم لوحة الرسائل القصيرة (أكثر من 50 منصة)
  - تنسيق تزوير المستندات
  - الحصول على بطاقة SIM (بلدان متعددة)
  - البحث عن طريقة الدفع (PayPal، Wise، العملة المشفرة)
الكفاءة:
- تطوير الويب (HTML/CSS، فوتوشوب، دريمويفر)
- إدارة وسائل التواصل الاجتماعي (ميتا بزنس سويت، الجدولة)
- الاستضافة/DNS (سي بانل، كلاود فلير، نيم شيب)
- أدوات الذكاء الاصطناعي (إنشاء الفيديو وإنشاء المحتوى)
- محافظ العملات المشفرة (المحفظة الذرية، MetaMask)
التحديات التشغيلية:
- عمليات تعليق حساب Microsoft (التحقق عبر الهاتف)
- قيود حساب Facebook (اكتشاف البطاقة الخاضعة للعقوبات)
- عمليات حظر حساب Skype
- صعوبات التحقق من الأرقام (4-6 بطاقات SIM لكل منصة)
أنشطة بارزة:
- تم إعداد أكثر من 120 منشورًا مقررًا على وسائل التواصل الاجتماعي
- تم إنشاء قوالب تجارة إلكترونية متعددة
- بالتنسيق مع «البورصة» (sarrafi) للمدفوعات
- إعداد نظام تتبع الحضور المُدار
- تم إنشاء رسومات متحركة ومقاطع فيديو ترويجية

‍

9. أمير حسين (أمير حسين)

الدور: أخصائي اختراق البنية التحتية/مهندس شبكات
الأدلة: التقرير الشهري (e8ed42d00168744e408dd53c795008c76ee788e6)
فترة العمل: بهمان 1402 (يناير - فبراير 2024)
إجمالي الساعات: 150 ساعة شهريًا
التخصصات:
- حملات الاستغلال الجماعي
- استهداف معدات الشبكة (أجهزة التوجيه وأجهزة المودم)
- رسم خرائط البنية التحتية والتوثيق
- تكوين مركز البيانات
- فحص نقاط الضعف الأمنية واستغلالها
المشاريع الرئيسية:
- الاستغلال الشامل للمودم:
  - استهداف جهاز GoAhead
  - حملات تي بي لينك وآسوس ودي لينك
  - استطلاع معدات pfSense
- حل وسط لمعدات Cisco:
  - استغلال Cisco RV (الشركات الصغيرة)
  - استخدام CVE المتعدد
- تكوين الشبكة:
  - إعداد مركز بيانات Tebyan
  - اختبار معدات ستارلينك
- مشاريع البنية التحتية:
  - نشر خادم IP-LAND
  - التالي: تصميم نظام السحابة
  - إعداد إدارة مشروع Planka
الكفاءة:
- الخريطة، النواة
- RouterScan، أجهزة التوجيه المقسمة (المستغلون التلقائيون)
- محرك بحث فوفا
- استغلال نت جير
مسؤوليات التوثيق:
- تقارير إدارة نقاط الضعف في SQLi
- تقارير إدارية لمدة 3 أشهر
- وثائق بنية النظام

‍

عوامل التشغيل غير المعروفة/غير المنسوبة

10. مشغل (شركات) غير مسمى - حملة ConnectWise

الدور: فريق استغلال الاستجابة السريعة
فترة العمل: إيسفاند 1402 (فبراير-مارس 2024)
التخصصات:
- الاستغلال السريع في يوم الصفر
- عمليات مسح متعددة البلدان
- تسليح نقاط الضعف في الوقت الحقيقي
الإنجاز الرئيسي: استغلال اليوم الأول لـ CVE-2024-1709 (في غضون 24 ساعة من الكشف)
التغطية الجغرافية: إسرائيل، المملكة العربية السعودية، تركيا، الأردن، الإمارات العربية المتحدة، أذربيجان

11. مشغل (شركات) غير مسمى - وزارة العدل الأردنية

الدور: اختبار اختراق تطبيقات الويب
الأدلة: تقرير services.moj.gov.jo
التخصصات:
- الاستغلال التليفزيوني (CVE-2019-18935، CVE-2017-11317)
- أمان تطبيق ASP.NET
- تطوير الحمولة المضادة للمركبات
- تقنيات تشويش DLL

‍

12. مشغل (شركات) غير مسمى - عملية Qistas

الدور: مشغل متقدم للتهديدات المستمرة/أخصائي استخراج البيانات
الأدلة: تقرير أداء شتاء 1403 (نهائي)
التخصصات:
- هيمنة الدليل النشط
- هجمات سلسلة التوريد
- الثبات على المدى الطويل (أشهر/سنوات)
- تصفية البيانات الضخمة (74 جيجابايت+ موثقة)
- تجاوز EDR (سوفوس وتريند مايكرو)
- اختراق البنية التحتية للنسخ الاحتياطي (Acronis Cloud)
الإنجاز الرئيسي: تسوية كاملة للنطاق مع الوصول المستمر

‍

13. مشغل (شركات) غير مسمى - جامعة WISE

الدور: أخصائي استغلال النظام القديم
الأدلة: تقرير الوصول الأولي لـ wise.edu.jo
التخصصات:
- استغلال PHP CGI (CVE-2012-1823)
- اختراق قاعدة البيانات
- نشر أداة المسؤول

‍

14. مشغل (مشغلات) غير مسماة - عملية iBlaw

الدور: أخصائي اختراق شبكة الشركات
الأدلة: تقرير آي بلاو لشتاء 1403
التخصصات:
- حل وسط لخادم إكسهانج
- استغلال وحدة تحكم المجال
- استهداف الصناعة القانونية
- استخراج بيانات العميل

‍

موظفو الإدارة والدعم

15. «الإدارة»/«موديريات» (مصر)

الدور: القيادة التشغيلية/منسق المشروع
الأدلة: مذكور في التقارير اليومية (الاجتماعات والموافقات وتكليفات المهام)
المسؤوليات:
- تعيين المهام وتحديد الأولويات
- الموافقة على الميزانية (تحويلات العملة المشفرة)
- التخطيط الاستراتيجي
- تنسيق شؤون الموظفين
- مراجعة التقرير
نمط التفاعل:
- اجتماعات الحالة العادية (20-40 دقيقة موثقة)
- سلطة الموافقة على النفقات
- مزود التوجيه الفني
- قرارات استراتيجية الحملة

‍

16. «إكسهانج»/«سرافي» (سرافي)

الدور: الميسر المالي/معالج العملات المشفرة
الأدلة: ورد ذكره مراراً في تقارير ماجد
المسؤوليات:
- معاملات العملات المشفرة
- معالجة المدفوعات الخارجية
- مشتريات بطاقة SIM
- تنسيق تزوير المستندات
- مدفوعات VPN/الخدمة
الكيانات المشار إليها:
- Gigo Pay (جهة اتصال الدعم)
- التحقق من باينانس/نوفين (خدمات المستندات)
- Paynans (خدمات الدفع)
ملاحظة: قد يكون متعاقدًا خارجيًا وليس عضوًا مباشرًا في الفريق

‍

17. «المدير الفني» (مصر)

الدور: مستشار فني أول
الأدلة: مذكور في تقرير استغلال المودم الخاص بعلي
المسؤوليات:
- إرشادات تقنية حول تقنيات الاستغلال
- اختيار الأدوات (Censys، إلخ.)
- المساعدة المنهجية
مثال محدد: ساعد في استراتيجية اكتشاف جهاز GoAhead واستغلاله

الجدول الزمني التشغيلي

بهمان 1402 (يناير - فبراير 2024):

حملات حقن SQL على الأهداف الإسرائيلية (simania.co.il، bonimonline.co.il)
استغلال أجهزة الشبكة الجماعية (أجهزة GoAhead، TP-Link)
معالجة خادم DNS (أكثر من 580 مودم)

إيسفاند 1402 (فبراير-مارس 2024):

استغلال كونيكتوايز CVE-2024-1709
الاستجابة السريعة للكشف عن نقاط الضعف (في غضون 24 ساعة)
حملات مسح متعددة البلدان

مهر أبان 1403 (سبتمبر - نوفمبر 2024):

تطوير البنية التحتية لحملة الهندسة الاجتماعية
عمليات شراء النطاقات وإنشاء النماذج
البحث والاستحواذ على لوحة الرسائل القصيرة
إعداد نظام الدفع (العملة المشفرة، تزوير المستندات)

داي 1403 (ديسمبر 2024 - يناير 2025):

التركيز على استغلال الدليل النشط
تطوير التهرب من EDR
تنفيذ هجوم سلسلة التوريد (اختراق شركاء Qistas)
التسرب المستمر للبيانات (74 جيجابايت+ من هدف واحد)

تطوير القدرات

الاستغلال الفوري لـ CVE-2024-1709 (استجابة اليوم الأول)
البحث المستمر لتجاوز EDR/AV
أجهزة RAT المخصصة ونصوص الأتمتة وأنظمة تنظيم البيانات

السياق الجيوسياسي

مصالح الاستخبارات الإيرانية:

الأنظمة القانونية/القضائية الإقليمية
عمليات صنع القرار الحكومي
عمليات الوكالة الأمريكية في الشرق الأوسط (USAID، OPIC)
علاقات مقاولي الدفاع
ذكاء قطاع الطاقة
الأنظمة المالية (تحويل الأموال، الخدمات المصرفية)

الاستهداف وعلم الضحايا

التركيز الجغرافي

ابتدائي: الأردن، الإمارات العربية المتحدة، المملكة العربية السعودية، إسرائيل ثانوي: تركيا، عمان، قطر، أذربيجان التعليم العالي: الولايات المتحدة الأمريكية وسنغافورة والهند

استهداف القطاع

قانوني/قضائي:
- وزارة العدل (الأردن)
- خدمات كيستاس القانونية
- شركة IBlaw
- أنظمة المحاكم
التعليم:
- جامعة وايز (الدراسات الإسلامية)
- منظمة IASA التعليمية
خدمات مالية:
- تحويل الأموال من البورصة السويسرية
- البنية التحتية المصرفية (عبر عملاء الشركات القانونية)
الحكومة:
- الاختراقات المتعددة للشبكات الحكومية
- قواعد بيانات الخدمة المدنية
البنية التحتية الحيوية:
- شركة المياه الوطنية (السعودية)
- أنظمة الطيران (العربية للطيران)
- قطاع الطاقة (عبر العملاء القانونيين)

أنواع البيانات التي تم تسريبها

معلومات التعريف الشخصية (PII):

أكثر من 11164 سجل للطلاب (جامعة WISE)
الآلاف من القضاة/المحامين (قاعدة بيانات Qistas)
ملفات الموظفين
أرقام الهوية الوطنية (الأردن وفلسطين)
مسح جواز السفر (بلدان متعددة)

أوراق اعتماد:

كلمات مرور مسؤول المجال
بيانات اعتماد قاعدة البيانات (MySQL، Oracle)
الوصول إلى حساب البريد الإلكتروني
بيانات اعتماد VPN
عمليات تسجيل الدخول إلى نظام الكاميرا

المستندات المصنفة/الحساسة:

قرارات مجلس الوزراء السعودي
ملفات هيئة الطيران المدني الأردنية
وثائق مشروع الوكالة الأمريكية للتنمية الدولية
العقود القانونية مع مقاولي الدفاع
الاتصالات التنظيمية للطيران

الذكاء التشغيلي:

لقطات كاميرات المراقبة (مراقبة على مدار الساعة طوال أيام الأسبوع)
تسجيلات مكالمات VoIP (2023-2024)
أرشيف مراسلات البريد الإلكتروني
وثائق استراتيجية الأعمال
قوائم العملاء والعقود

عمليات الحملة (الهندسة الاجتماعية)

البنية التحتية للتصيد الاحتيالي

المنصات المستهدفة:

إعلانات فيسبوك (حساب kaelajnz)
إعلانات تويتر/إكس
إينستاجرام (@kaelajnz)
إعلانات جوجل
إعلانات مايكروسوفت
قنوات تيليجرام (تركز على الإمارات)
حملات لينكد إن

التحديات التشغيلية:

عمليات تعليق حساب Microsoft (مشكلات التحقق من الهاتف)
قيود حساب Facebook (اكتشاف البطاقة الخاضعة للعقوبات)
مشكلات تكامل الدفع على تويتر
صعوبات التحقق من الرقم (4-6 بطاقات SIM تم شراؤها لكل منصة)

البنية التحتية الداعمة:

تم البحث في لوحات الرسائل القصيرة (تم تقييم أكثر من 50 منصة) من أجل النشر
خدمات eSIM (تم اختبارها عبر تفعيل الرسائل القصيرة)
خدمات تزوير المستندات (باينانس، نوفين فيرفيري، جيجو باي، باينانس)
عمليات شراء أرقام Skype (الإمارات العربية المتحدة)
نظام تتبع الحضور (لوحة Tick Box)

تطوير القالب:

قالب هيليوس (التجارة الإلكترونية)
قالب متجر مولا
قالب AeCars للسيارات
تم إعداد أكثر من 120 منشورًا مجدورًا على وسائل التواصل الاجتماعي

البنية التحتية التشغيلية

خدمات VPN: Namecheap VPN، RegXa VPS
VPS: مركز بيانات تبيان
تكامل ستارلينك
الاستضافة: Cloudflare + استضافة رخيصة
البريد الإلكتروني: حسابات البريد الإلكتروني للأعمال عبر Namecheap

أدوات مخصصة

مشروع آر تي إم: تطوير حصان طروادة للوصول البعيد
- تكامل الدليل النشط
- تعداد مجلد المشاركة
- جمع معلومات النظام
- قدرة شل
- التنفيذ الثنائي باستخدام المحولات
الماسحات الضوئية الآلية:
- قوالب النواة لـ CVE-2024-1709
- أجهزة التوجيه/المسح الضوئي/أجهزة التوجيه/تقسيم المستغلين التلقائيين
- ماسحات نقاط الضعف الأمنية في ووردبريس (WPScan)
منظمة البيانات:
- بلانكا (إدارة المشاريع)
- NextCloud (مشاركة الملفات)
- أنظمة التوثيق

التحليل الفني للحرفة

منهجيات الهجوم

ألف - الاستطلاع

الأدوات والتقنيات:

محركات البحث: شودان، سينسيس، ZooMeEye، فوفا، هانتر، أودين

تعداد النطاقات الفرعية عبر عمليات بحث IP العكسية
رسم خرائط البنية التحتية باستخدام Nmap و Nuclei

باء - الوصول الأولي

استغلال نقاط الضعف (بما في ذلك على سبيل المثال لا الحصر):
- CVE-2024-1708/1709 (الاتصال اللاسلكي)
- CVE-2019-18935 (إلغاء التسلسل التليفزيوني)
- CVE-2017-11317 (تحميل ملف تيليريك)
- CVE-2012-1823 (أرز فيجي PHP)
- CVE-2017-3506 (أوراكل ويبلوجيك)
حصاد بيانات الاعتماد:
- استخراج كلمة مرور قاعدة البيانات
- سرقة بيانات اعتماد المتصفح
- تعداد الدليل النشط

جيم - المثابرة

نشر غلاف الويب (المسؤول، PHP المخصص)
إنشاء حساب مسؤول المجال
اختراق نظام النسخ الاحتياطي (Acronis وOracle)
البنية التحتية للشبكة الخاصة الافتراضية (خدمات Namecheap VPN)
بوابات تحميل الملفات على المجالات المخترقة

دال - التهرب الدفاعي

مضاد لـ EDR:

حمولات DLL الغامضة
استراتيجيات اختطاف DLL
تجاوز:
- سنتينلون
- سوفوس
- تريند مايكرو
- كراود سترايك (اختبار معملي)

الأمن التشغيلي:

دوران VPN (عناوين IP الأوروبية)
تقسيم البنية التحتية
تخزين المستندات المشفرة (VeraCrypt)
لقطات الجهاز الافتراضي للنشر السريع

هاء - الحركة الجانبية

استغلال الدليل النشط
تعداد مجلد المشاركة
تفريغ بيانات الاعتماد
محور سلسلة التوريد (شبكات الشركاء)

واو - تسريب البيانات

الأساليب:

تفريغ قاعدة البيانات عبر Adminer
الوصول إلى النسخ الاحتياطي السحابي (بوابات Acronis)
تنزيلات لقطات CCTV
استخراج أرشيف البريد الإلكتروني (Exchange)
سرقة تسجيل مكالمات VoIP

تنظيم البيانات:

مُنظّم من قبل العميل/المشروع
أرشيفات مشفرة
أنواع الملفات المصنفة (المكتب، الصوت، التكوين، قاعدة البيانات)

‍

الخاتمة

تمثل مجموعة البيانات هذه واحدة من أكثر الإفصاحات التشغيلية لـ APT35/Charming Kitten شمولاً حتى الآن. يوضح ممثل التهديد:

الصبر الاستراتيجي: صيانة الوصول لعدة سنوات
التطور التقني: تطوير الأدوات المخصصة، والتهرب من EDR، وهجمات سلسلة التوريد
اتساع العمليات: حملات متزامنة عبر أكثر من 6 دول
استهداف عالي القيمة: قطاعات البنية التحتية الحكومية والقانونية والحيوية
مهمة تتمحور حول البيانات:: التسلل المنهجي الذي يعطي الأولوية لقيمة الاستخبارات

إن التسوية بين كيانات مثل Qistas (الخدمات القانونية) و iBlaw توفر لإيران رؤية غير مسبوقة في:

الإجراءات القضائية الإقليمية
عمليات الحكومة الأمريكية في الشرق الأوسط
علاقات مقاولي الدفاع
عمليات صنع القرار الحكومي
تخطيط البنية التحتية الحيوية

يوضح هذا أن العناصر داخل سلسلة التوريد الخاصة بالفرد يتم استخدامها بشكل متزايد للحصول على معلومات حول المنظمات ذات الاهتمام. يمثل هذا حملة تجسس مستمرة ونشطة وناجحة إلى حد ما مع آثار كبيرة على الأمن الإقليمي في الشرق الأوسط والمصالح الأمريكية والإجراءات القانونية الدولية.

المراجع

كوشيك بالم

Threat Researcher at CloudSEK, specializing in digital forensics, incident response, and adversary hunting to uncover attacker motives, methods, and operations.

باجيلا مانوهار ريدي

Threat Researcher at CloudSEK