كشفت شركة الأمن السيبراني الإسرائيلية ClearSky أن جهة التهديد الإيرانية المعروفة باسم TA455 (وتسمى أيضًا UNC1549 وYellow Dev 13) تقوم بمحاكاة تقنيات مجموعة قرصنة كورية شمالية لتشغيل حملة توظيف وهمية، تهدف إلى استهداف العاملين في صناعة الطيران والدفاع عن طريق تقديم عروض عمل وهمية.
التفاصيل الأساسية حول TA455
وبحسب “ thehackernews”، تعبر TA455 هو أحد المجموعات المرتبطة بالحرس الثوري الإيراني، وتندرج تحت مظلة APT35 (المعروفة أيضًا بأسماء مثل Charming Kitten وMint Sandstorm).
فيما تم تتبع عملياتها واستهدافاتها لمجالات الطيران والدفاع في الشرق الأوسط، بما في ذلك إسرائيل والإمارات وتركيا والهند وألبانيا.
أساليب الهجوم
تستخدم TA455 مجموعة متنوعة من أساليب الهندسة الاجتماعية، مثل تقديم عروض عمل وهمية عبر ملفات Zip تحتوي على مستندات تبدو مرتبطة بالوظيفة، مع تضمين برمجيات خبيثة مثل SnailResin وSlugResin.
كما تستخدم المجموعة ملفات DLL ضارة مثل "secur32.dll" لتحميل البرمجيات الخبيثة، مما يسمح بالوصول عن بعد وسرقة البيانات.
التقنيات والأدوات المستخدمة
مواقع توظيف وهمية: تتضمن حملة TA455 مواقع وهمية مثل ("careers2find[.]com") إلى جانب ملفات مضغوطة تحتوي على تطبيقات ملغومة.
مستودعات GitHub: تستخدم TA455 GitHub كـ "dead drop" لإخفاء خوادم التحكم والسيطرة ضمن أكواد في المستودعات، مما يساعد في تمرير النشاط الضار عبر حركة مرور مشروعة.
الهجمات متعددة المراحل: تبدأ الحملة برسائل تصيد تحتوي على ملفات Zip ذات مزيج من الملفات الآمنة والضارة، وذلك لتجاوز عمليات المسح الأمنية.
