האקרים איראנים ביצעו קמפיין הנדסה חברתית נגד ישראלים באוקטובר 2024, תוך התחזות להצעת עבודה בחברת רפאל, כך על פי הדוח השבועי של חברת הסייבר Experis Cyber. הישראלים שטורגטו קיבלו את הקישור לאתר המזויף במיילים והודעות.
במסגרת המתקפה המאורגנת, שבוצעה ע"י שביצעה קבוצת תקיפה איראנית בשם UNC2428, הופנו הקורבנות לאתר מזויף שנראה כמו אתר רשמי של חברת רפאל, המפתחת של כיפת ברזל, קלע דוד ועוד, שם נדרשו להוריד קובץ בשם RafaelConnect.exe כדי להגיש מועמדות למשרה בחברה. יש לציין, כי כבר על פי השפה העילגת שבה כתובה המודעה, "אנחנו צורכים למומחיות שלך ברפאל", צריך להבין שמדובר בניסיון הונאה.
הקובץ שהורד היה תוכנת התקנה בשם LONEFLEET שהציגה ממשק גרפי למילוי פרטים אישיים והעלאת קורות חיים. לאחר ההגשה, הופעלה ברקע דלת אחורית בשם MURKYTOUR באמצעות מפעיל בשם LEAFPILE, שנתן לתוקפים שליטה מתמשכת על המחשב. השימוש בממשק גרפי שנראה לגיטימי נועד להקטין את החשד מצד הקורבנות ולהסתיר את ההדבקה. הקמפיין שויך גם לקבוצת Black Shadow האיראנית, שפועלת עבור משרד המודיעין האיראני ותקפה מגזרים רבים בישראל.
קבוצות תקיפה נוספות כמו Cyber Toufan ו-UNC3313 תקפו גם הן משתמשים ישראלים בשנת 2024 עם תוכנות זדוניות כמו POKYBLIGHT, JELLYBEAN ו-CANDYBOX .UNC3313 נצפתה משתמשת בכלים לגיטימיים לניהול מרחוק (RMM) כדי לשמור על גישה מתמשכת תוך התחמקות מגילוי.
באירוע אחר, תוקפים איראנים הפיצו תוכנה מזויפת שהתחזתה לתוכנת GlobalProtect של פאלו אלטו ובה הוסתרה דלת אחורית בשם CACTUSPAL. קבוצת UNC1549 עושה שימוש בתשתיות ענן לגיטימיות כדי להסתיר פעילות זדונית ולמנוע זיהוי, כולל שימוש בטכניקות כמו typosquatting ושימוש חוזר בדומיינים. APT42 הידועה גם כ-Charming Kitten, נצפתה מתחזה לדפי התחברות של מיקרוסופט, גוגל ויאהו במטרה לגנוב סיסמאות. סך הכל, זוהו למעלה מ-20 משפחות נוזקות חדשות בשימוש איראני בשנת 2024.
איך אפשר להתגונן?
מומחי Experis Cyber ממליצים לוודא שעדכוני אבטחה מותקנים באופן שוטף במערכות ההפעלה והתוכנות בארגון, וכן במחשבכם הפרטי. כמו כן, מומלץ לבצע אימות דו-שלבי לחשבונות הארגוניים כדי לצמצם סיכוני גניבת אישורים וכן להדריך עובדים לבדוק היטב, גם מיילים המתקבלים ממקורות שנראים מהימנים. באופן כללי, זכרו תמיד להיזהר מלחיצה על קישורים שנראים מפוקפקים.