يبدو أن البرامج الخبيثة الصادرة من إيران لم تعد تنتشر فقط من قبل الجهات الفاعلة المتطورة التي ترعاها الحكومة. إذ قام قراصنة مبتدئون مرتبطين بالدولة الفارسية باستهداف عدد من الشركات في جميع أنحاء العالم، والتي تملك منافذ بروتوكول سطح المكتب عن بعد (RDP) المواجهة للإنترنت وأوراق اعتماد ضعيفة. بحيث قام “أطفال البرامج النصية” بإصابة الشركات ببرنامج Dharma ransomware.
تم توزيع برنامج Dharma الضار (المعروف أيضًا باسم Crysis) كنموذج Ransomware-as-a-service (RaaS) منذ عام 2016 على الأقل. وتم استخدام برنامج الفدية سابقا من قبل الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT) حتى ظهرت شفرة المصدر الخاصة به في مارس 2020، مما جعله متاحًا لمجموعة واسعة من المهاجمين.
هذا هو الحال مع هذه المجموعة الأخيرة من التهديدات المرتبطة بإيران، والتي يقول الباحثون إنها غير معقدة وتستهدف الشركات في جميع أنحاء روسيا واليابان والصين والهند باستخدام برنامج الفدية منذ يونيو، بهدف تحقيق مكاسب مالية.
قراصنة مبتدئون يستخدمون برنامج Dharma Ransomware
يقوم المهاجمون في هذه الحملة أولاً بفحص نطاقات من عناوين IP للمضيفين الذين يستخدمون منافذ RDP ضعيفة وبيانات الاعتماد الضعيفة. لقد فعلوا ذلك باستخدام برنامج مسح ضوئي يسمى Masscan (برنامج استخدمته في السابق جهات فاعلة سيئة مثل Fxmsp).
وبمجرد تحديد المضيفين المعرضين للخطر، ينشر المهاجمون تطبيق RDP معروف بالقوة الغاشمة ويدعىNLBrute ، والذي تم بيعه في المنتديات لسنوات. باستخدام هذه الأداة، يتمكن القراصنة من شق طريقهم بقوة إلى النظام، ثم التحقق من صحة بيانات الاعتماد التي تم الحصول عليها من قبل مضيفين آخرين يمكن الوصول إليهم في الشبكة نفسها.
في سياق متصل، أوضح الباحثون أنه من المثير للاهتمام أن الجهات الفاعلة في التهديد لم يكن لديها على الأرجح خطة واضحة بشأن ما يجب فعله مع الشبكات المخترقة، مما يدل على افتقارهم إلى التطور. ففي الهجمات المختلفة، يقوم المهاجمون عادة بتنزيل العديد من الأدوات المتاحة للجمهور لإجراء الاستطلاع أو التحرك بشكل جانبي عبر الشبكة.
فقام المهاجمون بالتحرك أفقياً عبر الشبكة ونشر متغير Dharma القابل للتنفيذ، والقيام بتشفير البيانات مع ترك مذكرة فدية للضحية. قال الباحثون إن المتسللين طلبوا عادةً فدية تتراوح بين 1 إلى 5 BTC (تبلغ قيمتها ما بين 12000 إلى 59000 دولارًا أمريكيًا في وقت كتابة هذا التقرير).
وعلى الرغم من أن العدد الدقيق للضحايا في هذه الحملة غير معروف، إلا أن القطع الأثرية الجنائية كشفت أن الجهات الفاعلة في التهديد في هذه الحملة “بعيدة جدا عن مستوى تعقيد APTs الإيرانية الكبرى”. إذ تشير مجموعة القراصنة المكتشفة حديثًا إلى أن إيران، التي عُرفت منذ سنوات بأنها مهد مجموعات APT التي ترعاها الدولة، تستوعب الآن أيضًا مجرمي الإنترنت ذوي الدوافع المالية.
