מתקפת סייבר איראנית נגד ישראלים: ניסיון פישינג מתוחכם התחזה להצעת עבודה ברפאל

על פי דיווח של חברת אבטחת הסייבר Experis Cyber, קבוצת תקיפה איראנית ביצעה באוקטובר 2024 קמפיין הנדסה חברתית מתוחכם נגד ישראלים. במסגרת הקמפיין, התוקפים התחזו להצעת עבודה מחברת הביטחון רפאל וניסו לבצע מתקפת פישינג.

בדו"ח השבועי שנשלח ללקוחות החברה, Experis Cyber חשפה כי המתקפה בוצעה על ידי קבוצת התקיפה האיראנית UNC2428. הקורבנות הופנו לאתר אינטרנט מזויף שעיצובו דמה לאתר הרשמי של רפאל. באתר זה, הם נתבקשו להוריד קובץ בשם RafaelConnect.exe על מנת להגיש מועמדות למשרה.

הקובץ שהורד התגלה כתוכנת התקנה בשם LONEFLEET, אשר הציגה למשתמשים ממשק גרפי שנועד לאיסוף פרטים אישיים ולהעלאת קורות חיים. לאחר מילוי הפרטים והגשתם, הופעלה ברקע דלת אחורית בשם MURKYTOUR, באמצעות מפעיל בשם LEAFPILE. דלת אחורית זו העניקה לתוקפים שליטה מתמשכת על מחשבי הקורבנות.

השימוש בממשק גרפי שנראה לגיטימי נועד להפחית את רמת החשד בקרב המשתמשים ולהסוות את תהליך ההדבקה. הקמפיין יוחס גם לקבוצת Black Shadow האיראנית, אשר פועלת עבור משרד המודיעין האיראני ותקפה בעבר מגזרים שונים בישראל.

הדו"ח של Experis Cyber מציין כי בשנת 2024 זוהו קבוצות תקיפה איראניות נוספות, כגון Cyber Toufan ו-UNC3313, אשר תקפו משתמשים ישראלים באמצעות תוכנות זדוניות ייחודיות. עוד עולה מהדו"ח כי קבוצת UNC3313 אף השתמשה בכלי ניהול מרחוק לגיטימיים כדי לשמור על גישה מתמשכת למערכות שהותקפו, תוך ניסיון להתחמק מגילוי. בנוסף, תוקפים איראניים הפיצו תוכנה מזויפת שהתחזתה לתוכנת GlobalProtect של Palo Alto והכילה דלת אחורית בשם CACTUSPAL.

קבוצת UNC1549 תועדה משתמשת בתשתיות ענן לגיטימיות כדי להסוות פעילות זדונית ולמנוע זיהוי, תוך שימוש בטכניקות כמו typosquatting ושימוש חוזר בדומיינים. קבוצת APT42, המוכרת גם כ-Charming Kitten, נצפתה מתחזה לדפי התחברות של גוגל, מיקרוסופט ויאהו במטרה לגנוב סיסמאות. בסך הכל, זוהו בשנת 2024 למעלה מ-20 משפחות נוזקות חדשות שהיו בשימוש של גורמים איראניים.