ענקית אבטחת המידע חושפת: איראן ביצעה קמפיין ריגול בארה"ב, ישראל והאמירויות
חוקרי חברת אבטחת המידע "פאלו אלטו נטוורקס" חשפו כי קבוצת Screening Serpens, המזוהה עם איראן, ניהלה קמפיין ריגול • במסגרתו הפעילה נוזקות וטכניקת תקיפה חדשה נגד יעדים בשורת מדינות
חוקרי חברת אבטחת המידע "פאלו אלטו נטוורקס" חשפו היום (ראשון) כי קבוצת Screening Serpens, המזוהה עם איראן, ניהלה קמפיין ריגול במסגרתו הפעילה נוזקות וטכניקת תקיפה חדשה נגד יעדים בישראל, ארה"ב ובמזרח התיכון.
>>> הצטרפו לערוץ הוואטסאפ של i24NEWS עברית <<<
צוותי המחקר של UNIT 42 מפאלו אלטו נטוורקס פרסמו היום דוח חדש החושף קמפיין ריגול מתמשך של קבוצת APT בשם Screening Serpens (המוכרת גם כ־ UNC1549, Smoke Sandstorm, Iranian Dream Job), המקושרת לאיראן.
לדבריהם, הקבוצה תקפה גופים בארה"ב, ישראל ואיחוד האמירויות, וככל הנראה גם שני יעדים נוספים במזרח התיכון. המחקר מתמקד בהתפתחות מתקפות הסייבר שבוצעו בין אמצע פברואר לאפריל 2026. עיתוי הקמפיינים תואם באופן הדוק להסלמה האזורית שהחלה במזרח התיכון ב־28 בפברואר 2026 ולמבצע "שאגת הארי". במהלך החקירה זוהו שש גרסאות חדשות של סוסי טרויאני לגישה מרחוק (RAT), שפותחו והופעלו בין פברואר לאפריל 2026.
שש גרסאות הסוס הטרויאני החדשות שאותרו סווגו לשתי משפחות נוזקה חדשות, שהופעלו במסגרת קמפייני ריגול מקבילים. על בסיס עיתוי ההפעלה, הניתוח שלנו מצביע על שני גלי מתקפות סייבר מתואמים. לפחות אחת מהגרסאות קודדה והופעלה עם הוראות תזמון ייעודיות.
ההתפתחות המשמעותית ביותר בקמפיין האחרון של הקבוצה עושה שימוש בטכניקה בשם AppDomainManager hijacking. מדובר בשיטה המנצלת את שלב האתחול של יישומי NET. כדי לנטרל מראש את מנגנוני האבטחה של היישום באמצעות קובץ קונפיגורציה לגיטימי. נטרול מנגנוני ההגנה הותיר את הארגונים המותקפים חשופים לגרסאות RAT רב־תכליתיות שהופעלו במסגרת המתקפה.