کمیته رکن چهارم – یک گروه هکری منتسب به جمهوری اسلامی ایران با استفاده از ایمیل یک شرکت هندی، اقدام به حمله سایبری به بخش هوانوردی و ارتباطات ماهوارهای امارات متحده عربی کرده است. در این حمله، یک Backdoor ناشناخته به نام Sosano برای نفوذ به شبکههای هدف مورد استفاده قرار گرفته است.
به گزارش کمیته رکن چهارم، شرکت امنیتی Proofpoint اعلام کرده است که این حمله در اواخر اکتبر ۲۰۲۴ شناسایی شده و چندین نهاد را در امارات هدف قرار داده است. مهاجمان از یک حساب ایمیل هکشده متعلق به شرکت الکترونیکی INDIC Electronics هند استفاده کردهاند. این شرکت با سازمانهای هدف، روابط تجاری داشته و همین موضوع باعث شده است که ایمیلهای فیشینگ ارسالشده از سوی مهاجمان، معتبر به نظر برسند.
طبق گزارش منتشرشده، مهاجمان از طریق ایمیلهای فیشینگ، کاربران را به دامنهای جعلی (indicelectronics[.]net) هدایت کردهاند که میزبان یک فایل ZIP مخرب حاوی یک فایل XLS و دو فایل PDF بوده است. فایل XLS شامل یک میانبر ویندوز (LNK) بود که بهعنوان فایل Excel جعلی نمایش داده میشد. دو فایل PDF نیز دارای فایلهای چندلایه (Polyglot Files) بودند که یک اسکریپت HTA مخرب و یک فایل ZIP مخفی را در خود جای داده بودند.
بر اساس بررسیهای Proofpoint، این بدافزار که به زبان Golang نوشته شده، قابلیتهای محدودی دارد و میتواند فرمانهایی مانند تغییر مسیر دایرکتوری، فهرست کردن محتوا، دانلود و اجرای فایلهای ناشناخته، حذف دایرکتوری و اجرای دستورات شل را دریافت و اجرا کند.
جاشوا میلر، محقق تهدیدات APT در Proofpoint، در این باره اظهار داشته است: «تحلیل ما نشان میدهد که این کمپین توسط یک عامل وابسته به جمهوری اسلامی ایران و سپاه پاسداران (IRGC) اجرا شده است.»
وی همچنین تأکید کرده است که «بخشهای هدف قرار گرفته در این حمله، برای ثبات اقتصادی و امنیت ملی امارات اهمیت حیاتی دارند و از نظر اطلاعاتی در سطح ژئوپلیتیکی ارزش بالایی دارند.» به گفته این کارشناس، «این حمله نشان میدهد که گروههای وابسته به دولتها همچنان به استفاده از تکنیکهای پیچیده پنهانسازی و بهرهگیری از روابط تجاری برای نفوذ به شبکههای حساس ادامه میدهند.»
