🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

الجزء 2: المواجهة السيبرانية بين إيران وإسرائيل - الحرب الصامتة للدولة

كشفت CloudSek عن زيادة في الهجمات الإلكترونية المرتبطة بإيران والتي تستهدف إسرائيل وحلفائها. تقوم مجموعات مثل APT42 و APT34 و MuddyWater و hacktivist Handala بالتجسس وسرقة البيانات وهجمات DDoS. تستخدم هذه الجهات الفاعلة التصيد الاحتيالي وسرقة بيانات الاعتماد والأدوات الخفية للتسلل إلى القطاعات الحساسة. تنصح CloudSek المؤسسات بتصحيح الثغرات الأمنية ومراقبة حركة مرور DNS وفرض سياسات الأمان الخالية من الثقة.

كوشيك بالم
June 19, 2025
Green Alert
Last Update posted on
August 21, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك.

يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.

Schedule a Demo
Table of Contents
Author(s)
Coauthors image
نيفيا رافي

ملخص تنفيذي

يحدد هذا التقرير التطور والقدرات الحالية للجهات الفاعلة في مجال التهديد السيبراني المتحالفة مع إيران، لا سيما في سياق التوترات الجيوسياسية المتزايدة بين إيران وإسرائيل. يتم تنظيم العمليات السيبرانية الهجومية الإيرانية بشكل أساسي من قبل فيلق الحرس الثوري الإسلامي (IRGC) ووزارة الاستخبارات والأمن (MOIS)، وغالبًا ما يتم تنفيذها من خلال المقاولين والوكلاء مثل Emennet Pasargad و Afkar System. في حين أن هناك العديد من الجهات الفاعلة التابعة للدولة الإيرانية، تشمل الجهات الفاعلة الرئيسية شقة 42، ركز على التجسس عبر الهندسة الاجتماعية والتسوية السحابية؛ مياه مودي، والاستفادة من PowerShell وعمليات الاستغلال العامة تحت إشراف وزارة المعلومات؛ و شقة 34، وهي مجموعة خفية تستخدم أنفاق DNS وهجمات سلسلة التوريد. كما شهدت التصعيدات الأخيرة ظهور هاندالا، وهي مجموعة قراصنة ذات دوافع سياسية تستهدف الكيانات المرتبطة بإسرائيل باستخدام DDoS وتسريب البيانات. على الرغم من مستويات التطور المتنوعة، تعرض جميع المجموعات أنماطًا متسقة من الوصول الأولي القائم على التصيد الاحتيالي، والمثابرة عبر سرقة بيانات الاعتماد وLOLBins، وتسريب البيانات من خلال القنوات السرية. وتستمر هذه الجهات الفاعلة في التطور بما يتماشى مع المصالح الاستراتيجية الإقليمية لإيران وأجندات الانتقام.

اقرأ أيضًا: الجزء 1: المواجهة السيبرانية بين إيران وإسرائيل - جبهة الهاكتيفيستالجزء الأول: المواجهة السيبرانية بين إيران وإسرائيل - جبهة الهاكتيفيست

التحليل

تُدار العمليات السيبرانية الإيرانية في المقام الأول من قبل كيانين رئيسيين متحالفين مع الدولة، وكلاهما يلعبان أدوارًا متميزة ولكن متداخلة أحيانًا في تعزيز الأهداف الوطنية في الفضاء الإلكتروني:

  • الحرس الثوري الإسلامي (IRGC)
    الحرس الثوري الإيراني هو منظمة عسكرية قوية تقدم تقاريرها مباشرة إلى المرشد الأعلى لإيران، آية الله علي خامنئي. يشرف الحرس الثوري الإيراني على الأنشطة السيبرانية الهجومية التي تستهدف الخصوم الخارجيين والمعارضين الداخليين. وهي تستفيد من شبكة من المقاولين والشركات الوهمية لتنفيذ العمليات مع الحفاظ على إمكانية الإنكار المعقولة.
  • وزارة الاستخبارات والأمن (MOIS) (يُعرف أيضًا باسم فيفاك (باللغة الفارسية)
    MOIS هي وكالة الاستخبارات المدنية الرئيسية في إيران، وهي تقدم تقاريرها إلى الرئيس. غالبًا ما تركز عملياتها الإلكترونية على التجسس والأمن الداخلي وعمليات التأثير التي تستهدف المعارضين السياسيين والدول الأجنبية.

يقوم كل من الحرس الثوري الإيراني ووزارة المخابرات بالتنسيق من خلال المجلس الأعلى للفضاء الإلكتروني، مما يساعد على مواءمة الاستراتيجية السيبرانية مع أهداف الأمن القومي.

المقاولون والوكلاء:
كثيرًا ما تستعين إيران بالعمليات الإلكترونية لمقاولين من القطاع الخاص وشركات الواجهة ومجموعات الوكلاء لإخفاء الإسناد وتوسيع القدرة التشغيلية.

  • إيمينيت باسارغاد (سابقا بئس؛ مرتبط بـ كوتون ساندستورم)
  • نظام أفكار
  • تقنية ناجي (مرتبط بـ نيميسيس كيتين / مجموعة APT35)

تمكّن هذه المجموعات إيران من إجراء عمليات يمكن إنكارها مع توسيع نطاقها وتطورها.

الملف الشخصي لممثل التهديد: APT42 (القط الساحر)

الأسماء المستعارة لممثل التهديد:
CrowdStrike Mandiant Microsoft (New) Proofpoint Secureworks
Charming Kitten APT42, TA453 Mint Sandstorm TA453 Cobalt Illusion (SPHYNX)

APT42 هي مجموعة تجسس إلكتروني ترعاها الدولة وتُنسب إلى الحرس الثوري الإسلامي الإيراني (IRGC). تتخصص المجموعة في حملات الاستطلاع والهندسة الاجتماعية عالية الاستهداف ضد الأفراد والمنظمات ذات الأهمية الاستراتيجية لإيران. وحملاتهم ليست عادةً هجمات «بالرش والصلاة» واسعة النطاق؛ بل هي عمليات صبورة ومصممة حسب الطلب تركز على اختراق حسابات محددة لجمع المعلومات الاستخبارية. استنادًا إلى تقنيات انتحال الشخصية الدقيقة، وتطوير البرامج الضارة المخصصة (على سبيل المثال، PowerKitten)، والمثابرة، يتم تقييم APT42 كعامل تهديد متطور للغاية وواسع الحيلة. تشمل ملاحظاتهم الفنية البارزة استخدام صفحات تسجيل الدخول المزيفة، وأدوات إسقاط البرامج الضارة المصممة خصيصًا والتي يتم تسليمها عبر التصيد الاحتيالي، والاستطلاع المكثف لجعل خدع الهندسة الاجتماعية الخاصة بهم ذات مصداقية عالية.

أهداف APT42:

  • القطاعات/القطاعات: يستهدف APT42 بشكل أساسي الأوساط الأكاديمية ومنظمات حقوق الإنسان والصحفيين والمنظمات غير الحكومية والكيانات الحكومية. وينصب تركيزهم على الأفراد المشاركين في الأبحاث أو السياسات أو الأنشطة المتعلقة بالمصالح الإيرانية.
  • نشاط ما بعد الاختراق: بمجرد دخول بيئة الضحية، يركز APT42 على استخراج البيانات. يبحثون عن رسائل البريد الإلكتروني وقوائم جهات الاتصال والمستندات وأي معلومات حساسة أخرى مخزنة في حسابات مخترقة ويسرقونها (مثل Google Workspace و Microsoft 365).
  • الثبات: ومن المعروف أن المجموعة تحافظ على ثباتها لفترات طويلة، وغالبًا ما تستخدم بيانات الاعتماد المسروقة للحفاظ على الوصول إلى حسابات البريد الإلكتروني والتخزين السحابي، ومراقبة الاتصالات باستمرار.
  • العلاقة المستهدفة: غالبًا ما ترتبط الأهداف من خلال عملهم، مثل كونهم باحثين في نفس المجال أو حضور نفس المؤتمرات الدولية حول السياسة الخارجية.

سمات نموذج APT42 الماسي:

طريقة عمل APT42:

على مستوى عالٍ، تتبع عمليات APT42 نمطًا واضحًا. في: يحصلون على وصول أولي بشكل حصري تقريبًا من خلال حملات التصيد الاحتيالي شديدة الاستهداف التي تنتحل شخصية جهات الاتصال أو الخدمات الموثوقة. من خلال: يتحركون أفقيًا باستخدام الحساب المخترق لاستهداف جهات اتصال الضحية ونشر نصوص استطلاع خفيفة الوزن أو أبواب خلفية. خارج: يتم تحقيق هدفهم الأساسي من خلال سحب البيانات مباشرة من السحابة أو حساب البريد الإلكتروني للضحية.

الملف الشخصي لممثل التهديد: MuddyWater

الأسماء المستعارة لممثل التهديد:

CISA Symantec Trend Micro Palo Alto Networks PwC
MuddyWater Seedworm TEMP.Zagros OilRig* (disputed overlap) Boggy Serpens

ملاحظة: هناك جدل في الصناعة حول الحدود الدقيقة بين MuddyWater و APT34 (OilRig)، حيث يقوم بعض الباحثين بتقييمها كمجموعات متميزة مع مشاركة الأدوات من حين لآخر.

MuddyWater هي مجموعة ترعاها الدولة تعمل لدعم MOIS الإيرانية. تم تصنيفها على أنها جهة تجسس ولكنها أظهرت قدراتها على الهجمات التخريبية. تتخصص المجموعة في الوصول إلى الشبكات والحفاظ على المثابرة طويلة المدى لجمع المعلومات الاستخباراتية. غالبًا ما تبدأ حملاتهم بالتصيد الاحتيالي ولكنها سرعان ما تركز على استغلال نقاط الضعف في التطبيقات العامة. يتم تقييم تطور MuddyWater على أنه معتدل؛ فهي قابلة للتكيف وفعالة للغاية ولكنها تعتمد بشكل كبير على تقنيات «العيش خارج الأرض» والأدوات المتاحة للجمهور، مما يجعل الإسناد أمرًا صعبًا. تشمل الملاحظات الفنية البارزة استخدامهم المكثف لـ PowerShell للأبواب الخلفية (على سبيل المثال، POWERSTATS)، و DNS للقيادة والتحكم (C2)، واستغلال الثغرات الأمنية مثل Log4j.

أهداف شركة مودي ووتر:

  • القطاعات/القطاعات: قطاعات الاتصالات والحكومة (بما في ذلك الدفاع والاستخبارات) والتكنولوجيا والطاقة.
  • نشاط ما بعد الاختراق: بمجرد دخولها، تجري MuddyWater استطلاعًا داخليًا مكثفًا، وتسعى إلى تصعيد الامتيازات، واستخراج البيانات ذات القيمة الاستخباراتية. وهي ليست مدمرة عادةً ولكنها تتمتع بالقدرة وقد تم ربطها بعمليات نشر البرامج الضارة في الماضي.
  • الثبات: تشتهر المجموعة بأوقات المكوث الطويلة، وذلك باستخدام المهام المجدولة وتعديلات التسجيل والأبواب الخلفية المخصصة للحفاظ على الوصول لأشهر أو حتى سنوات.
  • العلاقة المستهدفة: غالبًا ما ترتبط الأهداف بأهميتها الاستراتيجية لإيران، مثل كونها مزودًا رئيسيًا للتكنولوجيا في الشرق الأوسط أو الوكالات الحكومية للدول المتنافسة.

سمات نموذج مودي ووتر دايموند:

طريقة عمل المياه الموحلة:

التدفق التشغيلي لـ MuddyWater فعال ومصمم للتسلل. في: يمكنهم الوصول عبر رسائل البريد الإلكتروني المخادعة التي تحتوي على مستندات ضارة أو عن طريق استغلال الخوادم غير المصححة التي تواجه الإنترنت. من خلال: ويقومون على الفور بنشر الأبواب الخلفية لـ PowerShell ويستخدمون أدوات Windows الشرعية (LOLBins) للاندماج مع حركة مرور الشبكة العادية أثناء إجراء الاستطلاع والامتيازات المتصاعدة. خارج: يتم جمع البيانات وتنظيمها في الأرشيف وتسريبها ببطء عبر قنوات C2 الغامضة لتجنب اكتشافها.

ملف تعريف ممثل التهديد: APT34 (OilRig)

الأسماء المستعارة لممثل التهديد:

CrowdStrike Mandiant Microsoft Palo Alto Networks Group-IB
Helix Kitten APT34 Hazel Sandstorm OilRig Cobalt Gypsy

ملاحظة: في حين ترتبط APT34 أحيانًا بـ MuddyWater بسبب الرعاة المشتركين من الدول، إلا أنها تعتبر مجموعة متميزة لها مجموعة أدوات ومنهجيات تشغيلية فريدة وغالبًا ما تكون أكثر تعقيدًا.

APT34 هي مجموعة تجسس إلكتروني ترعاها الدولة، ونشطت منذ عام 2014 على الأقل ويُعتقد على نطاق واسع أنها تعمل نيابة عن الحكومة الإيرانية، وربما وزارة الاستخبارات والأمن (MOIS). تتخصص المجموعة في حملات جمع المعلومات الاستخباراتية طويلة المدى التي تتوافق مع المصالح الوطنية الاستراتيجية لإيران. تتميز حملاتهم بالاستخدام المكثف للأدوات المطورة خصيصًا، والتركيز على الحفاظ على التخفي، والقدرة على تكييف تكتيكاتهم بناءً على بيئة الهدف. استنادًا إلى ترسانة البرامج الضارة المخصصة الشاملة (على سبيل المثال، BondUpdater و QUADAGENT)، واستخدام التقنيات المتقدمة مثل نفق DNS لـ C2، وانضباطها التشغيلي، يتم تقييم APT34 كعامل تهديد متطور للغاية وناضج. تشمل السمات الفنية الخاصة بهم استخدام أوراق اعتماد شرعية للاندماج واستغلال العلاقات الموثوقة في هجمات سلسلة التوريد لتجاوز الدفاعات المحيطة.

أهداف APT34:

  • القطاعات/القطاعات: تستهدف في المقام الأول الخدمات المالية والحكومة والطاقة (النفط والغاز) والاتصالات والصناعات الكيماوية. وقد لوحظ أيضًا أنها تستهدف شركات تكنولوجيا المعلومات، ربما بسبب تنازلات سلسلة التوريد.
  • نشاط ما بعد الاختراق: بمجرد الدخول إلى الشبكة، يركز APT34 على تجميع بيانات الاعتماد والحركة الجانبية وتحديد البيانات عالية القيمة واستخراجها. يستخدمون أدوات لتفريغ بيانات الاعتماد من الذاكرة واكتشاف هيكل الشبكة وحزم البيانات للتصفية عبر القنوات السرية.
  • الثبات: تشتهر المجموعة بأوقات الإقامة الطويلة للغاية. ويقومون بإنشاء نقاط متعددة من الثبات باستخدام الأبواب الخلفية المخصصة وقذائف الويب والمهام المجدولة لضمان استمرار الوصول حتى في حالة اكتشاف طريقة واحدة.
  • العلاقة المستهدفة: ترتبط الأهداف دائمًا تقريبًا بالمصالح الجيوسياسية والاقتصادية لإيران. ويشمل ذلك حكومات الشرق الأوسط المتنافسة والشركات العاملة في سوق الطاقة العالمي والمؤسسات المالية.

سمات نموذج APT34 الماسي:

طريقة عمل APT34:

عمليات APT34 منهجية وخفية. في: إنهم يفضلون التصيد الاحتيالي باستخدام الإغراءات ذات الصلة بالصناعة المستهدفة أو المساس بموفر تكنولوجيا معلومات موثوق به تابع لجهة خارجية للحصول على وصول أولي. من خلال: إنهم يعيشون بعيدًا عن الأرض حيثما أمكن ولكن من المعروف أنهم ينشرون مجموعة قوية ومتطورة من أدوات PowerShell المخصصة لإجراء الاستطلاع وتصعيد الامتيازات والتحرك أفقيًا. خارج: أسلوب التوقيع الخاص بهم هو استخدام DNS كقناة سرية للتواصل مع خوادم C2 واستخراج البيانات المسروقة، مما يجعل من الصعب تحديد حركة المرور الخاصة بهم بين طلبات DNS المشروعة.

الملف الشخصي لممثل التهديد: Handala

Handala هي مجموعة هاكتيفية ذات دوافع سياسية ظهرت في سياق الصراع بين إسرائيل وحماس. تُصنف المجموعة على أنها كيان هاكتيفي، لكن بعض الباحثين يقيّمونها على أنها منحازة للدولة، وتعمل على الأرجح لدعم الأهداف الجيوسياسية لإيران، على غرار النموذج التشغيلي لمجموعات مثل CyberAV3ngers. تتخصص Handala في الهجمات التخريبية والعامة، بما في ذلك DDoS وتشويه مواقع الويب وسرقة البيانات والتسريب اللاحق. هدفهم هو معاقبة الكيانات التي يعتبرونها أعداء للقضية الفلسطينية ونشر رسالتها السياسية.

يتم تقييم تطور Handala من منخفض إلى متوسط. لا يبدو أنها تستخدم عمليات استغلال يوم الصفر ولكنها فعالة في الاستفادة من الثغرات المعروفة في تطبيقات الويب (على سبيل المثال، حقن SQL) واستخدام الأدوات وشبكات الروبوت المتاحة بسهولة لشن هجمات DDoS القوية. وتتمثل سماتهم التقنية البارزة في سرعتهم في نشر الهجمات على قناة تيليجرام الخاصة بهم، وغالبًا ما ينشرون أدلة على الاختراق أو تسرب البيانات في الوقت الفعلي تقريبًا لزيادة اهتمام وسائل الإعلام.

أهداف هاندالا:

  • القطاعات/القطاعات: الاستهداف واسع للغاية وانتهازي. وهي تشمل الحكومة والتكنولوجيا والخدمات اللوجستية والسفر والتجارة الإلكترونية وأي كيان تجاري مقره في إسرائيل أو يدعمها بصوت عالٍ. لقد أعلنوا عن هجمات ضد شركات التكنولوجيا الكبرى ووكالات السفر ومراكز البيانات.
  • نشاط ما بعد الاختراق: إجراءات المجموعة سريعة ومدمرة للسرية والنزاهة. فهي تصل إلى قواعد البيانات، وتفرز بيانات المستخدم، وقوائم العملاء، وغيرها من المعلومات الحساسة، وتسربها على الفور. غالبًا ما يشوهون مواقع الويب برسائل مؤيدة للفلسطينيين.
  • الثبات: لا يبدو أن Handala تركز على المثابرة طويلة المدى. يعتمد نموذجهم على الوصول وسرقة البيانات القيمة والخروج قبل نشر النتائج التي توصلوا إليها. الهدف هو التعطيل والإحراج، وليس التجسس على المدى الطويل.
  • العلاقة المستهدفة: ترتبط جميع الأهداف بقاسم مشترك واحد: ارتباط حقيقي أو متصور بدولة إسرائيل، إما من خلال الأصل القومي أو الشراكات التجارية أو الدعم السياسي المعلن.

سمات نموذج هاندالا الماسي:

طريقة عمل هاندالا:

دليل تشغيل Handala مباشر ومصمم للسرعة والتأثير العام. في: فهي إما تطغى على خدمات الهدف بحركة مرور DDoS كبيرة الحجم أو تستغل ثغرة أمنية على موقع الويب العام الخاص بها للوصول. لقد رأينا أيضًا حالات أرسلت فيها Handala رسائل بريد إلكتروني احتيالية إلى أهدافها. من خلال:بمجرد الدخول، ينتقلون بسرعة إلى قواعد البيانات أو الملفات الحساسة ويستخرجون منها. خارج: خطوتهم الأخيرة هي استخراج البيانات المسروقة ونشرها على الفور على قناة Telegram الخاصة بهم، وغالبًا ما يكون ذلك مصحوبًا بتشويه موقع الضحية على الويب والتهكم العام.

رسم خرائط ميتري ATT&CK - APT42، المياه الموحلة، APT34، هاندالا

الأسطورة:

أزرق فاتح: APT42

اللون الرمادي: الماء الموحل

البرتقالي: APT34

أزرق داكن: Handala

TTPs الشائعة في مجموعتين أو أكثر: باللون الأحمر

التأثير

  • خروقات البيانات وفقدان IP: قد يتم تسريب البيانات الداخلية الحساسة والملكية الفكرية وبيانات الاعتماد، مما يعرض عملك للتجسس أو السرقة المالية.
  • الضرر الذي يلحق بالعلامة التجارية والثقة: يمكن أن تؤدي التسريبات العامة والتشويهات (كما رأينا مع Handala) إلى تآكل ثقة العملاء ودعوة التدقيق الإعلامي.
  • وقت التعطل التشغيلي: يمكن أن تؤدي الثغرات الأمنية المستغلة أو آليات الثبات إلى تعطيل العمليات أو تتطلب معالجة كاملة للبيئة.
  • مخاطر التسلل على المدى الطويل: يسمح استخدام نفق DNS وأدوات النظام الشرعية (LOLBins) بالوصول المطول غير المكتشف.
  • الامتثال والتعرض التنظيمي: قد تؤدي الانتهاكات إلى فرض عقوبات عدم الامتثال بموجب قوانين حماية البيانات (على سبيل المثال، GDPR و HIPAA).

عوامل التخفيف

  • استثمر في باتش هييجين: قم بتقييم سطح الهجوم الخاص بك وفرض التصحيح السريع للتطبيقات العامة من خلال الإدارة المركزية للثغرات الأمنية.
  • استخدام هاردن بوويرشيل: تقييد استخدام أداة البرمجة النصية وتنفيذ التسجيل (تسجيل ScriptBlock) واستخدام سياسات AppLocker.
  • كشف نشاط C2 السري: قم بنشر اكتشاف شذوذ DNS وقصر DNS الصادر على وحدات الحل المعروفة فقط.
  • الثقة الصفرية والامتيازات الأقل: قم بالحد من امتيازات حساب المستخدم والخدمة؛ تحقق باستمرار من حدود الثقة.
  • قياس نقطة النهاية والشبكة عن بُعد: استخدم أدوات EDR/XDR لاكتشاف LOLBins وسلوكيات سرقة بيانات الاعتماد والحركة الجانبية مبكرًا.

المراجع

#بروتوكول إشارات المرور - ويكيبيديا

Predict Cyber threats against your organization

Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

استخبارات الخصم
Table of Content

ملخص تنفيذي

يحدد هذا التقرير التطور والقدرات الحالية للجهات الفاعلة في مجال التهديد السيبراني المتحالفة مع إيران، لا سيما في سياق التوترات الجيوسياسية المتزايدة بين إيران وإسرائيل. يتم تنظيم العمليات السيبرانية الهجومية الإيرانية بشكل أساسي من قبل فيلق الحرس الثوري الإسلامي (IRGC) ووزارة الاستخبارات والأمن (MOIS)، وغالبًا ما يتم تنفيذها من خلال المقاولين والوكلاء مثل Emennet Pasargad و Afkar System. في حين أن هناك العديد من الجهات الفاعلة التابعة للدولة الإيرانية، تشمل الجهات الفاعلة الرئيسية شقة 42، ركز على التجسس عبر الهندسة الاجتماعية والتسوية السحابية؛ مياه مودي، والاستفادة من PowerShell وعمليات الاستغلال العامة تحت إشراف وزارة المعلومات؛ و شقة 34، وهي مجموعة خفية تستخدم أنفاق DNS وهجمات سلسلة التوريد. كما شهدت التصعيدات الأخيرة ظهور هاندالا، وهي مجموعة قراصنة ذات دوافع سياسية تستهدف الكيانات المرتبطة بإسرائيل باستخدام DDoS وتسريب البيانات. على الرغم من مستويات التطور المتنوعة، تعرض جميع المجموعات أنماطًا متسقة من الوصول الأولي القائم على التصيد الاحتيالي، والمثابرة عبر سرقة بيانات الاعتماد وLOLBins، وتسريب البيانات من خلال القنوات السرية. وتستمر هذه الجهات الفاعلة في التطور بما يتماشى مع المصالح الاستراتيجية الإقليمية لإيران وأجندات الانتقام.

اقرأ أيضًا: الجزء 1: المواجهة السيبرانية بين إيران وإسرائيل - جبهة الهاكتيفيستالجزء الأول: المواجهة السيبرانية بين إيران وإسرائيل - جبهة الهاكتيفيست

التحليل

تُدار العمليات السيبرانية الإيرانية في المقام الأول من قبل كيانين رئيسيين متحالفين مع الدولة، وكلاهما يلعبان أدوارًا متميزة ولكن متداخلة أحيانًا في تعزيز الأهداف الوطنية في الفضاء الإلكتروني:

  • الحرس الثوري الإسلامي (IRGC)
    الحرس الثوري الإيراني هو منظمة عسكرية قوية تقدم تقاريرها مباشرة إلى المرشد الأعلى لإيران، آية الله علي خامنئي. يشرف الحرس الثوري الإيراني على الأنشطة السيبرانية الهجومية التي تستهدف الخصوم الخارجيين والمعارضين الداخليين. وهي تستفيد من شبكة من المقاولين والشركات الوهمية لتنفيذ العمليات مع الحفاظ على إمكانية الإنكار المعقولة.
  • وزارة الاستخبارات والأمن (MOIS) (يُعرف أيضًا باسم فيفاك (باللغة الفارسية)
    MOIS هي وكالة الاستخبارات المدنية الرئيسية في إيران، وهي تقدم تقاريرها إلى الرئيس. غالبًا ما تركز عملياتها الإلكترونية على التجسس والأمن الداخلي وعمليات التأثير التي تستهدف المعارضين السياسيين والدول الأجنبية.

يقوم كل من الحرس الثوري الإيراني ووزارة المخابرات بالتنسيق من خلال المجلس الأعلى للفضاء الإلكتروني، مما يساعد على مواءمة الاستراتيجية السيبرانية مع أهداف الأمن القومي.

المقاولون والوكلاء:
كثيرًا ما تستعين إيران بالعمليات الإلكترونية لمقاولين من القطاع الخاص وشركات الواجهة ومجموعات الوكلاء لإخفاء الإسناد وتوسيع القدرة التشغيلية.

  • إيمينيت باسارغاد (سابقا بئس؛ مرتبط بـ كوتون ساندستورم)
  • نظام أفكار
  • تقنية ناجي (مرتبط بـ نيميسيس كيتين / مجموعة APT35)

تمكّن هذه المجموعات إيران من إجراء عمليات يمكن إنكارها مع توسيع نطاقها وتطورها.

الملف الشخصي لممثل التهديد: APT42 (القط الساحر)

الأسماء المستعارة لممثل التهديد:
CrowdStrike Mandiant Microsoft (New) Proofpoint Secureworks
Charming Kitten APT42, TA453 Mint Sandstorm TA453 Cobalt Illusion (SPHYNX)

APT42 هي مجموعة تجسس إلكتروني ترعاها الدولة وتُنسب إلى الحرس الثوري الإسلامي الإيراني (IRGC). تتخصص المجموعة في حملات الاستطلاع والهندسة الاجتماعية عالية الاستهداف ضد الأفراد والمنظمات ذات الأهمية الاستراتيجية لإيران. وحملاتهم ليست عادةً هجمات «بالرش والصلاة» واسعة النطاق؛ بل هي عمليات صبورة ومصممة حسب الطلب تركز على اختراق حسابات محددة لجمع المعلومات الاستخبارية. استنادًا إلى تقنيات انتحال الشخصية الدقيقة، وتطوير البرامج الضارة المخصصة (على سبيل المثال، PowerKitten)، والمثابرة، يتم تقييم APT42 كعامل تهديد متطور للغاية وواسع الحيلة. تشمل ملاحظاتهم الفنية البارزة استخدام صفحات تسجيل الدخول المزيفة، وأدوات إسقاط البرامج الضارة المصممة خصيصًا والتي يتم تسليمها عبر التصيد الاحتيالي، والاستطلاع المكثف لجعل خدع الهندسة الاجتماعية الخاصة بهم ذات مصداقية عالية.

أهداف APT42:

  • القطاعات/القطاعات: يستهدف APT42 بشكل أساسي الأوساط الأكاديمية ومنظمات حقوق الإنسان والصحفيين والمنظمات غير الحكومية والكيانات الحكومية. وينصب تركيزهم على الأفراد المشاركين في الأبحاث أو السياسات أو الأنشطة المتعلقة بالمصالح الإيرانية.
  • نشاط ما بعد الاختراق: بمجرد دخول بيئة الضحية، يركز APT42 على استخراج البيانات. يبحثون عن رسائل البريد الإلكتروني وقوائم جهات الاتصال والمستندات وأي معلومات حساسة أخرى مخزنة في حسابات مخترقة ويسرقونها (مثل Google Workspace و Microsoft 365).
  • الثبات: ومن المعروف أن المجموعة تحافظ على ثباتها لفترات طويلة، وغالبًا ما تستخدم بيانات الاعتماد المسروقة للحفاظ على الوصول إلى حسابات البريد الإلكتروني والتخزين السحابي، ومراقبة الاتصالات باستمرار.
  • العلاقة المستهدفة: غالبًا ما ترتبط الأهداف من خلال عملهم، مثل كونهم باحثين في نفس المجال أو حضور نفس المؤتمرات الدولية حول السياسة الخارجية.

سمات نموذج APT42 الماسي:

طريقة عمل APT42:

على مستوى عالٍ، تتبع عمليات APT42 نمطًا واضحًا. في: يحصلون على وصول أولي بشكل حصري تقريبًا من خلال حملات التصيد الاحتيالي شديدة الاستهداف التي تنتحل شخصية جهات الاتصال أو الخدمات الموثوقة. من خلال: يتحركون أفقيًا باستخدام الحساب المخترق لاستهداف جهات اتصال الضحية ونشر نصوص استطلاع خفيفة الوزن أو أبواب خلفية. خارج: يتم تحقيق هدفهم الأساسي من خلال سحب البيانات مباشرة من السحابة أو حساب البريد الإلكتروني للضحية.

الملف الشخصي لممثل التهديد: MuddyWater

الأسماء المستعارة لممثل التهديد:

CISA Symantec Trend Micro Palo Alto Networks PwC
MuddyWater Seedworm TEMP.Zagros OilRig* (disputed overlap) Boggy Serpens

ملاحظة: هناك جدل في الصناعة حول الحدود الدقيقة بين MuddyWater و APT34 (OilRig)، حيث يقوم بعض الباحثين بتقييمها كمجموعات متميزة مع مشاركة الأدوات من حين لآخر.

MuddyWater هي مجموعة ترعاها الدولة تعمل لدعم MOIS الإيرانية. تم تصنيفها على أنها جهة تجسس ولكنها أظهرت قدراتها على الهجمات التخريبية. تتخصص المجموعة في الوصول إلى الشبكات والحفاظ على المثابرة طويلة المدى لجمع المعلومات الاستخباراتية. غالبًا ما تبدأ حملاتهم بالتصيد الاحتيالي ولكنها سرعان ما تركز على استغلال نقاط الضعف في التطبيقات العامة. يتم تقييم تطور MuddyWater على أنه معتدل؛ فهي قابلة للتكيف وفعالة للغاية ولكنها تعتمد بشكل كبير على تقنيات «العيش خارج الأرض» والأدوات المتاحة للجمهور، مما يجعل الإسناد أمرًا صعبًا. تشمل الملاحظات الفنية البارزة استخدامهم المكثف لـ PowerShell للأبواب الخلفية (على سبيل المثال، POWERSTATS)، و DNS للقيادة والتحكم (C2)، واستغلال الثغرات الأمنية مثل Log4j.

أهداف شركة مودي ووتر:

  • القطاعات/القطاعات: قطاعات الاتصالات والحكومة (بما في ذلك الدفاع والاستخبارات) والتكنولوجيا والطاقة.
  • نشاط ما بعد الاختراق: بمجرد دخولها، تجري MuddyWater استطلاعًا داخليًا مكثفًا، وتسعى إلى تصعيد الامتيازات، واستخراج البيانات ذات القيمة الاستخباراتية. وهي ليست مدمرة عادةً ولكنها تتمتع بالقدرة وقد تم ربطها بعمليات نشر البرامج الضارة في الماضي.
  • الثبات: تشتهر المجموعة بأوقات المكوث الطويلة، وذلك باستخدام المهام المجدولة وتعديلات التسجيل والأبواب الخلفية المخصصة للحفاظ على الوصول لأشهر أو حتى سنوات.
  • العلاقة المستهدفة: غالبًا ما ترتبط الأهداف بأهميتها الاستراتيجية لإيران، مثل كونها مزودًا رئيسيًا للتكنولوجيا في الشرق الأوسط أو الوكالات الحكومية للدول المتنافسة.

سمات نموذج مودي ووتر دايموند:

طريقة عمل المياه الموحلة:

التدفق التشغيلي لـ MuddyWater فعال ومصمم للتسلل. في: يمكنهم الوصول عبر رسائل البريد الإلكتروني المخادعة التي تحتوي على مستندات ضارة أو عن طريق استغلال الخوادم غير المصححة التي تواجه الإنترنت. من خلال: ويقومون على الفور بنشر الأبواب الخلفية لـ PowerShell ويستخدمون أدوات Windows الشرعية (LOLBins) للاندماج مع حركة مرور الشبكة العادية أثناء إجراء الاستطلاع والامتيازات المتصاعدة. خارج: يتم جمع البيانات وتنظيمها في الأرشيف وتسريبها ببطء عبر قنوات C2 الغامضة لتجنب اكتشافها.

ملف تعريف ممثل التهديد: APT34 (OilRig)

الأسماء المستعارة لممثل التهديد:

CrowdStrike Mandiant Microsoft Palo Alto Networks Group-IB
Helix Kitten APT34 Hazel Sandstorm OilRig Cobalt Gypsy

ملاحظة: في حين ترتبط APT34 أحيانًا بـ MuddyWater بسبب الرعاة المشتركين من الدول، إلا أنها تعتبر مجموعة متميزة لها مجموعة أدوات ومنهجيات تشغيلية فريدة وغالبًا ما تكون أكثر تعقيدًا.

APT34 هي مجموعة تجسس إلكتروني ترعاها الدولة، ونشطت منذ عام 2014 على الأقل ويُعتقد على نطاق واسع أنها تعمل نيابة عن الحكومة الإيرانية، وربما وزارة الاستخبارات والأمن (MOIS). تتخصص المجموعة في حملات جمع المعلومات الاستخباراتية طويلة المدى التي تتوافق مع المصالح الوطنية الاستراتيجية لإيران. تتميز حملاتهم بالاستخدام المكثف للأدوات المطورة خصيصًا، والتركيز على الحفاظ على التخفي، والقدرة على تكييف تكتيكاتهم بناءً على بيئة الهدف. استنادًا إلى ترسانة البرامج الضارة المخصصة الشاملة (على سبيل المثال، BondUpdater و QUADAGENT)، واستخدام التقنيات المتقدمة مثل نفق DNS لـ C2، وانضباطها التشغيلي، يتم تقييم APT34 كعامل تهديد متطور للغاية وناضج. تشمل السمات الفنية الخاصة بهم استخدام أوراق اعتماد شرعية للاندماج واستغلال العلاقات الموثوقة في هجمات سلسلة التوريد لتجاوز الدفاعات المحيطة.

أهداف APT34:

  • القطاعات/القطاعات: تستهدف في المقام الأول الخدمات المالية والحكومة والطاقة (النفط والغاز) والاتصالات والصناعات الكيماوية. وقد لوحظ أيضًا أنها تستهدف شركات تكنولوجيا المعلومات، ربما بسبب تنازلات سلسلة التوريد.
  • نشاط ما بعد الاختراق: بمجرد الدخول إلى الشبكة، يركز APT34 على تجميع بيانات الاعتماد والحركة الجانبية وتحديد البيانات عالية القيمة واستخراجها. يستخدمون أدوات لتفريغ بيانات الاعتماد من الذاكرة واكتشاف هيكل الشبكة وحزم البيانات للتصفية عبر القنوات السرية.
  • الثبات: تشتهر المجموعة بأوقات الإقامة الطويلة للغاية. ويقومون بإنشاء نقاط متعددة من الثبات باستخدام الأبواب الخلفية المخصصة وقذائف الويب والمهام المجدولة لضمان استمرار الوصول حتى في حالة اكتشاف طريقة واحدة.
  • العلاقة المستهدفة: ترتبط الأهداف دائمًا تقريبًا بالمصالح الجيوسياسية والاقتصادية لإيران. ويشمل ذلك حكومات الشرق الأوسط المتنافسة والشركات العاملة في سوق الطاقة العالمي والمؤسسات المالية.

سمات نموذج APT34 الماسي:

طريقة عمل APT34:

عمليات APT34 منهجية وخفية. في: إنهم يفضلون التصيد الاحتيالي باستخدام الإغراءات ذات الصلة بالصناعة المستهدفة أو المساس بموفر تكنولوجيا معلومات موثوق به تابع لجهة خارجية للحصول على وصول أولي. من خلال: إنهم يعيشون بعيدًا عن الأرض حيثما أمكن ولكن من المعروف أنهم ينشرون مجموعة قوية ومتطورة من أدوات PowerShell المخصصة لإجراء الاستطلاع وتصعيد الامتيازات والتحرك أفقيًا. خارج: أسلوب التوقيع الخاص بهم هو استخدام DNS كقناة سرية للتواصل مع خوادم C2 واستخراج البيانات المسروقة، مما يجعل من الصعب تحديد حركة المرور الخاصة بهم بين طلبات DNS المشروعة.

الملف الشخصي لممثل التهديد: Handala

Handala هي مجموعة هاكتيفية ذات دوافع سياسية ظهرت في سياق الصراع بين إسرائيل وحماس. تُصنف المجموعة على أنها كيان هاكتيفي، لكن بعض الباحثين يقيّمونها على أنها منحازة للدولة، وتعمل على الأرجح لدعم الأهداف الجيوسياسية لإيران، على غرار النموذج التشغيلي لمجموعات مثل CyberAV3ngers. تتخصص Handala في الهجمات التخريبية والعامة، بما في ذلك DDoS وتشويه مواقع الويب وسرقة البيانات والتسريب اللاحق. هدفهم هو معاقبة الكيانات التي يعتبرونها أعداء للقضية الفلسطينية ونشر رسالتها السياسية.

يتم تقييم تطور Handala من منخفض إلى متوسط. لا يبدو أنها تستخدم عمليات استغلال يوم الصفر ولكنها فعالة في الاستفادة من الثغرات المعروفة في تطبيقات الويب (على سبيل المثال، حقن SQL) واستخدام الأدوات وشبكات الروبوت المتاحة بسهولة لشن هجمات DDoS القوية. وتتمثل سماتهم التقنية البارزة في سرعتهم في نشر الهجمات على قناة تيليجرام الخاصة بهم، وغالبًا ما ينشرون أدلة على الاختراق أو تسرب البيانات في الوقت الفعلي تقريبًا لزيادة اهتمام وسائل الإعلام.

أهداف هاندالا:

  • القطاعات/القطاعات: الاستهداف واسع للغاية وانتهازي. وهي تشمل الحكومة والتكنولوجيا والخدمات اللوجستية والسفر والتجارة الإلكترونية وأي كيان تجاري مقره في إسرائيل أو يدعمها بصوت عالٍ. لقد أعلنوا عن هجمات ضد شركات التكنولوجيا الكبرى ووكالات السفر ومراكز البيانات.
  • نشاط ما بعد الاختراق: إجراءات المجموعة سريعة ومدمرة للسرية والنزاهة. فهي تصل إلى قواعد البيانات، وتفرز بيانات المستخدم، وقوائم العملاء، وغيرها من المعلومات الحساسة، وتسربها على الفور. غالبًا ما يشوهون مواقع الويب برسائل مؤيدة للفلسطينيين.
  • الثبات: لا يبدو أن Handala تركز على المثابرة طويلة المدى. يعتمد نموذجهم على الوصول وسرقة البيانات القيمة والخروج قبل نشر النتائج التي توصلوا إليها. الهدف هو التعطيل والإحراج، وليس التجسس على المدى الطويل.
  • العلاقة المستهدفة: ترتبط جميع الأهداف بقاسم مشترك واحد: ارتباط حقيقي أو متصور بدولة إسرائيل، إما من خلال الأصل القومي أو الشراكات التجارية أو الدعم السياسي المعلن.

سمات نموذج هاندالا الماسي:

طريقة عمل هاندالا:

دليل تشغيل Handala مباشر ومصمم للسرعة والتأثير العام. في: فهي إما تطغى على خدمات الهدف بحركة مرور DDoS كبيرة الحجم أو تستغل ثغرة أمنية على موقع الويب العام الخاص بها للوصول. لقد رأينا أيضًا حالات أرسلت فيها Handala رسائل بريد إلكتروني احتيالية إلى أهدافها. من خلال:بمجرد الدخول، ينتقلون بسرعة إلى قواعد البيانات أو الملفات الحساسة ويستخرجون منها. خارج: خطوتهم الأخيرة هي استخراج البيانات المسروقة ونشرها على الفور على قناة Telegram الخاصة بهم، وغالبًا ما يكون ذلك مصحوبًا بتشويه موقع الضحية على الويب والتهكم العام.

رسم خرائط ميتري ATT&CK - APT42، المياه الموحلة، APT34، هاندالا

الأسطورة:

أزرق فاتح: APT42

اللون الرمادي: الماء الموحل

البرتقالي: APT34

أزرق داكن: Handala

TTPs الشائعة في مجموعتين أو أكثر: باللون الأحمر

التأثير

  • خروقات البيانات وفقدان IP: قد يتم تسريب البيانات الداخلية الحساسة والملكية الفكرية وبيانات الاعتماد، مما يعرض عملك للتجسس أو السرقة المالية.
  • الضرر الذي يلحق بالعلامة التجارية والثقة: يمكن أن تؤدي التسريبات العامة والتشويهات (كما رأينا مع Handala) إلى تآكل ثقة العملاء ودعوة التدقيق الإعلامي.
  • وقت التعطل التشغيلي: يمكن أن تؤدي الثغرات الأمنية المستغلة أو آليات الثبات إلى تعطيل العمليات أو تتطلب معالجة كاملة للبيئة.
  • مخاطر التسلل على المدى الطويل: يسمح استخدام نفق DNS وأدوات النظام الشرعية (LOLBins) بالوصول المطول غير المكتشف.
  • الامتثال والتعرض التنظيمي: قد تؤدي الانتهاكات إلى فرض عقوبات عدم الامتثال بموجب قوانين حماية البيانات (على سبيل المثال، GDPR و HIPAA).

عوامل التخفيف

  • استثمر في باتش هييجين: قم بتقييم سطح الهجوم الخاص بك وفرض التصحيح السريع للتطبيقات العامة من خلال الإدارة المركزية للثغرات الأمنية.
  • استخدام هاردن بوويرشيل: تقييد استخدام أداة البرمجة النصية وتنفيذ التسجيل (تسجيل ScriptBlock) واستخدام سياسات AppLocker.
  • كشف نشاط C2 السري: قم بنشر اكتشاف شذوذ DNS وقصر DNS الصادر على وحدات الحل المعروفة فقط.
  • الثقة الصفرية والامتيازات الأقل: قم بالحد من امتيازات حساب المستخدم والخدمة؛ تحقق باستمرار من حدود الثقة.
  • قياس نقطة النهاية والشبكة عن بُعد: استخدم أدوات EDR/XDR لاكتشاف LOLBins وسلوكيات سرقة بيانات الاعتماد والحركة الجانبية مبكرًا.

المراجع

#بروتوكول إشارات المرور - ويكيبيديا

كوشيك بالم

Related Blogs