קבוצת ריגול סייבר איראנית הגבירה את התקפותיה על יעדים בארה"ב, בישראל ובאיחוד האמירויות

גל תקיפות מתוחכם ורחב היקף המיוחס לארגון ה-APT "Screening Serpens" חושף עליית מדרגה משמעותית ביכולות הריגול האיראניות, תוך שימוש בנוזקות חדשות ובטכניקות עקיפה מתקדמות המכוונות למגזרי הביטחון והטכנולוגיה

מנדי קוגוסובסקי |
קבוצת ריגול סייבר איראנית הגבירה את התקפותיה על יעדים בארה"ב, בישראל ובאיחוד האמירויות

Illustration: Sylvain Cls via Pexels.com

חטיבת המחקר המודיעיני Unit 42 מבית פאלו אלטו נטוורקס מדווחת על גל פעילות עוין שהתעצם בין אמצע פברואר לאפריל 2026, תקופה החופפת להסלמה הביטחונית במזרח התיכון שהחלה בסוף פברואר. 

הקבוצה, המוכרת גם בכינויים UNC1549 ו-Smoke Sandstorm, מתמקדת מזה שנים בקידום אינטרסים מודיעיניים של איראן, אך נראה כי בחודשים האחרונים האיצה את קצב פעולותיה והגדילה את רמת התחכום הטכני שלה. מומחי הסייבר זיהו במהלך תקופה זו שישה וריאנטים חדשים של סוסים טרויאניים לגישה מרחוק, אשר הופצו במסגרת קמפיינים ממוקדים של הנדסה חברתית.

התוקפים נוקטים בשיטות שכנוע מתוחכמות, בהן התחזות לפלטפורמות גיוס עובדים ושימוש בהצעות עבודה מזויפות או הזמנות לוועידות וידאו. הקורבנות מתבקשים להוריד ארכיונים הנחזים למסמכים לגיטימיים, אך בפועל מכילים שרשראות הדבקה מורכבות של טעינת קבצי DLL זדוניים. הממצאים מצביעים על שתי משפחות נוזקה חדשות בשם MiniUpdate ו-MiniJunk V2, המאפשרות אחיזה ממושכת במערכות היעד ושליפת מידע רגיש באופן מדורג כדי לחמוק מזיהוי. שרתיו של הארגון נשענים על תשתית גמישה של דומיינים מתחלפים המאוחסנים בשירותי ענן דוגמת Azure, מה שמקשה על רשויות הביטחון לנטרל את התשתית העוינת ביעילות.

עליית המדרגה המשמעותית ביותר בתחכום האופרטיבי של הקבוצה היא אימוץ טכניקת ה-AppDomainManager Hijacking, המנצלת את תהליך האתחול של יישומי NET. באמצעות מניפולציה על קבצי הגדרות, התוקפים מסוגלים לנטרל מנגנוני אבטחה קריטיים, דוגמת אימות חתימות דיגיטליות ומעקב אחר אירועי מערכת, עוד לפני שהיישום מסיים לעלות באופן מלא. טכניקה זו מאפשרת להם "להעוור" את כלי ההגנה המותקנים על תחנות הקצה ולפעול ללא הפרעה תחת הרדאר.

למרות המיקוד המסורתי במדינות האזור, פעילות הארגון חורגת כיום הרבה מעבר למזרח התיכון וכוללת תקיפות מכוונות נגד חברות טכנולוגיה, תעשיות ביטחוניות ותקשורת במערב אירופה ובארצות הברית. הערכות החוקרים מעידות בביטחון בינוני עד גבוה על כך שקבוצת Screening Serpens מנהלת מערך ריגול מסונכרן, שבו מועדי התקיפות מתוזמנים באופן הדוק מול אירועים גיאופוליטיים אזוריים. 

התנהלות זו ממצבת את הקבוצה כאיום אסטרטגי מתמיד, בעל יכולת הסתגלות מהירה, שאינו מהסס לנצל את רגישותם של עובדים במגזרים רגישים כדי להשיג דריסת רגל בתוך רשתות ארגוניות שמורות. מומחי אבטחה מדגישים כי נדרשת ערנות מקסימלית מצד ארגונים בינלאומיים אל מול הפיתויים המקצועיים המזויפים וההתקפות הטכניות המורכבות המאפיינות את הגל הנוכחי.

תגיות