MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
hackers

قرصان إيراني يستغل أكثر من 100 بريد سفارة في حملة تصيد عالمية تستهدف الدبلوماسيين

استغل قراصنة إيرانيون أكثر من 100 حساب بريد إلكتروني لسفارات في حملة تصيد احتيالي متعددة الموجات تستهدف الدبلوماسيين، باستخدام ماكروهات VBA

قرصان إيراني يستغل أكثر من 100 بريد سفارة في حملة تصيد عالمية تستهدف الدبلوماسيين

 المايسترو نيرو - قسم خرق البيانات / التجسس السيبراني

تم ربط مجموعة مرتبطة بإيران بحملة تصيد احتيالي "منسقة" و"متعددة الموجات" تستهدف السفارات والقنصليات في أوروبا ومناطق أخرى حول العالم.

ربطت شركة الأمن السيبراني الإسرائيلية Dream النشاط بمشغلين موالين لإيران، متصلين بالأنشطة السيبرانية الهجومية الأوسع لمجموعة تُعرف باسم Homeland Justice.

"تم إرسال رسائل بريد إلكتروني إلى عدة جهات حكومية في جميع أنحاء العالم، تتقمص مظهر الاتصالات الدبلوماسية الشرعية،" قالت الشركة. "تشير الأدلة إلى جهد تجسسي إقليمي أوسع يستهدف الكيانات الدبلوماسية والحكومية خلال فترة من التوتر الجيوسياسي العالي."

تتضمن سلسلة الهجوم استخدام رسائل بريد إلكتروني احتيالية (تصيد احتيالي) تحمل مواضيع تتعلق بالتوترات الجيوسياسية بين إيران وإسرائيل، لإرسال مستند Microsoft Word ضار. عند فتحه، يحث المستند الضحايا على "تمكين المحتوى" من أجل تنفيذ ماكرو Visual Basic for Applications (VBA) مضمّن، وهو المسؤول عن نشر الحمولة الخبيثة.

ووفقًا لـ Dream، تم إرسال الرسائل الإلكترونية إلى سفارات وقنصليات ومنظمات دولية عبر الشرق الأوسط وأفريقيا وأوروبا وآسيا والأمريكتين، مما يشير إلى أن النشاط وسّع نطاق شبكة التصيد. ويُقال إن السفارات الأوروبية والمنظمات الأفريقية كانت الأكثر استهدافًا.

تم إرسال الرسائل الرقمية من 104 عنوان بريد إلكتروني مخترق فريد، تابعة لمسؤولين وكيانات شبه حكومية، لإضفاء طبقة إضافية من المصداقية. ومن المؤكد أن بعض الرسائل نشأت من بريد إلكتروني تم اختراقه ينتمي إلى وزارة الخارجية العمانية في باريس (*@fm.gov.om).

"تضمّنت محتويات الإغراء بشكل ثابت اتصالات عاجلة حول MFA (المصادقة متعددة العوامل)، ونقلت سلطة، واستغلت الممارسة الشائعة لتمكين الماكرو للوصول إلى المحتوى، وهي سمات تميز عملية تجسس مخططة جيدًا تهدف بشكل متعمد إلى إخفاء هوية المهاجمين،" قالت Dream.

الهدف النهائي من الهجمات هو نشر ملف تنفيذي عبر ماكرو VBA يمكنه إنشاء عنصر ثبات (persistence)، والاتصال بخادم أوامر وتحكم (C2)، وجمع معلومات النظام.

ومن الجدير بالذكر أن شركة الأمن السيبراني ClearSky، التي كشفت أيضًا عن بعض جوانب الحملة في وقت متأخر من الشهر الماضي، قالت إن رسائل التصيد أُرسلت إلى وزارات متعددة للخارجية.

"تم استخدام تقنيات تمويه مشابهة من قبل فاعلين تهديديين إيرانيين في عام 2023 عندما استهدفوا Mojahedin-e-Khalq في ألبانيا،" قالت في منشور على X. "نُقيّم بثقة متوسطة أن هذا النشاط مرتبط بنفس الفاعلين التهديديين الإيرانيين."

آخر تحديث: 7 أكتوبر 2025