דו״ח סייבר שבועי
עדכון שבועי 02.02.2023
עיקרי הדברים
-
ישראל: מערך הסייבר הלאומי סיכל 1,000 מתקפות סייבר עם פוטנציאל נזק. התרעה על תקיפות באמצעות צרופות HTML. משטרת ישראל מזהירה מפני הונאות באמצעות SMS מאפליקציות התשלומים bit או Paybox.
-
השבוע בכופרה: קבוצת הכופרה Lockbit ממשיכה לתקוף בין הקורבנות חברת תעופה אלבנית. ה-FBI סיכל את הפעילות של קבוצת הכופר HIVE ומנעה תשלום של 130 מיליון דולר דמי כופר.
-
מרכז הסייבר הלאומי של אנגליה מזהיר מפני מתקפות פישינג שמופעלות על ידי תוקפים מרוסיה ואיראן
-
סייבר בבריאות: Atlantic General Hospital חווה אירוע כופר, איגוד בתי החולים האמריקאי (AHA) מתריע מפני קבוצת Killnet המכוונת למגזר הבריאות
-
*אנו ממליצים את המוצרים הבאים: עידכון אבטחה ל-BIND 9 (גבוה); EDR של חברת Cybereason (גבוה):*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
ISC מפרסמת עידכון אבטחה ל-BIND 9 שסוגר 4 חולשות ברמה גבוהה
עדכון אבטחה ל-EDR של חברת Cybereason שסוגר חולשה ברמה גבוהה
חולשת RCE התגלתה ב-Cisco IOx Application Hosting Environment
חברת אבטחת המידע F5 מפרסמת עדכוני תוכנה ל18 חולשות חלקן ברמת חומרה גבוה
התקפות ואיומים
רוסיה-אוקראינה: קבוצת תקיפה רוסית נצפתה פועלת כנגד ארגונים באוקראינ
השבוע בכופרה
ה FBI סיכל את הפעילות של קבוצת הכופר HIVE ומנעה תשלום של 130 מיליון דולר דמי כופר.
קבוצת הכופרה Lockbit ממשיכה לתקוף בין הקורבנות חברת תעופה אלבנית
ממשלת אוסטרליה תוביל צוות גלובלי למלחמה בכופרה
Lockbit משתמשת בקוד המקור של Conti לבניית וריאנט חדש לנוזק
סייבר בגופי בריאות
Atlantic General Hospital חווה מתקפת כופרה
קליפורניה: סוכנות הבריאות Livingston Memorial VNA מדווחת על חשיפת נתונים בעקבות מתקפת כופרה
איגוד בתי החולים האמריקאי (AHA) מתריע מפני קבוצת Killnet המכוונת למגזר הבריאות
סייבר בעולם
CISA מוסיפה ל״קטלוג החולשות המנוצלות הידועות״ חולשה קריטית המשפיעה על מוצר של חברת Telerik
דלף מידע הכולל קוד מקור של ענקית הטכנולוגיה Yandex
הערכה שקבוצות התקיפה האיראניות Moses Staff ו- Abraham's Ax מופעלות ע״י אותו גורם.
מרכז הסייבר הלאומי של אנגליה מזהיר מפני מתקפות פישינג שמופעלות על ידי תוקפים מרוסיה ואיראן
הנוזקה GootKit ממשיכה להתפתח ומציגה רכיבים ואפשרויות חדשות
סייבר בישראל
כנס ״סייברטק גלובל״ - מערך הסייבר הלאומי חושף את נתוני הסיכול של השנה האחרונה
קמפיין תקיפה חדש באמצעות צרופות HTML
מתקפת פישינג חדשה עושה שימוש ב SMS שנשלח בשם Paybox או Bit
סייבר ופרטיות - רגולציה ותקינה
שיתוף פעולה בתחום הסייבר תחת הסכמי אברהם: הצהרה פומבית על התקדמות לקראת הסכם נוסף
הציטוט השבועי
״_"זוהי חלק מהיסטוריה דיפלומטית, חלק מהיסטוריית הגנת הסייבר והזדמנות נפלאה להעמיק שותפויות ביטחוניות"_״
– רוב סילברס, תת-מזכיר המחלקה לביטחון פנים (DHS) לאסטרטגיה, מדיניות ותוכניות, בהצהרה בכנס Cybertech על הרחבת הסכמי אברהם, 1.2.2023 (Washington Post, 1.2.2023)
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
ISC מפרסמת עידכון אבטחה ל-BIND 9 שסוגר 4 חולשות ברמה גבוהה
חברת ISC מפרסמת עידכון אבטחה למספר חולשות ב BIND 9 תוכנה המשמשת להתממשקות עם רשומות DNS, ניצול מוצלח של חולשות אלו יכול לאפשר לתוקף לבצע מתקפה מסוג מניעת שירות. החולשות הם :
CVE-2022-3094 - שקיבלה דירוג CVSS 7.5 ומקורה בשגיאה שנוצרת בעקבות שליחת בקשות מרובות מסוג dynamic DNS updates.
CVE-2022-3488 - שקיבלה דירוג CVSS 7.5 ומקורה בשגיאה שנוצרת בעקבות עיבוד חוזר של שאילתה שחוזרת על עצמה.
CVE-2022-3736 - שקיבלה דירוג CVSS 7.5 ומקורה ביישום לא נכון של האופציה stale-answer-client-timeout.
CVE-2022-3736 - שקיבלה דירוג CVSS 7.5 ומקורה ביישום לא נכון של האופציה stale-answer-client-timeout.
צוות קונפידס ממליץ למשתמשי המוצר לבצע עידכון גירסה לגרסה האחרונה כפי שפורסמה על ידי ISC, החולשות תוקנו בגריסאות המוצר הבאות : 9.16.12 -> 9.16.36, 9.18.0 -> 9.18.10, 9.19.0 -> 9.19.8.
עדכון אבטחה ל-EDR של חברת Cybereason שסוגר חולשה ברמה גבוהה
חברת הסייבר הישראלית Cybereason הוציאה עדכון אבטחה המתקן חולשה ברמה גבוהה CVE-2020-25502 CVSS 7.8 הנמצאה במערכת ההגנה של החברה. החולשה מאפשרת למשתמשים או תהליכים בעלי הרשאות נמוכות לגשת ולקבל שליטה נוספת על נקודות קצה פגיעות. החולשה תוקנה בגרסאות הבאות:
19.1.282 והלאה, 19.2.182 והלאה, 20.1.343 והלאה, 20.2.x והלאה.
צוות קונפידס ממליץ למשתמשי המוצר לעדכן לגרסה העדכנית ביותר של המוצר.
חולשת RCE התגלתה ב-Cisco IOx Application Hosting Environment
חולשה חדשה המאפשרת הזרקת קוד התגלתה במוצר Cisco IOx Application Hosting Environment. החולשה (CVE-2023-20076) עלולה לאפשר לתוקף מאומת להריץ קוד שרירותי על עמדה פגיעה מרוחקת עליה מאוחסן במוצר בהרשאות root, הרשאות המקנות לתוקף שליטה מלאה על העמדה ונקודת גישה אפשרית לרשת הפנימית. החולשה מתאפשרת בעקבות אימות לא תקין של פרמטרים שמועברים להפעלה של אפליקציה מסוימת. תוקף יכול לנצל חולשה זו על ידי עריכה של קובץ ההפעלה של האפליקציה ובאמצעותו לבצע את ניצול החולשה.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם על פי הוראות היצרן.
חברת אבטחת המידע F5 מפרסמת עדכוני תוכנה ל18 חולשות חלקן ברמת חומרה גבוהה
השבוע פרסמה חברת F5 עדכון תוכנה למערכות BIG-IP, F5OS, BIG-IQ הפותר 18 חולשות שונות מתוכן 13 ברמת חומרה גבוהה. החולשות תקפות לגרסאות המוצרים:
F5 BIG-IP 17.0.0
F5 BIG-IP 16.1.2.2 - 16.1.3
F5 BIG-IP 15.1.5.1 - 15.1.8
F5 BIG-IP 14.1.4.6 - 14.1.5
F5 BIG-IP 13.1.5
BIG-IQ Centralized Management 8.0.0 - 8.2.0, 7.1.0
F5OS-C 1.3.0-1.3.2
F5OS-A 1.2.0, 1.1.0-1.1.1, 1.0.0-1.0.1
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם על פי הוראות היצרן.
התקפות ואיומים
רוסיה-אוקראינה: קבוצת תקיפה רוסית נצפתה פועלת כנגד ארגונים באוקראינה
Sandworm, קבוצת תקיפה המקושרת למנהלת המודיעין הראשית של המטה הכללי של הפדרציה הרוסית, נצפתה פועלת כנגד ארגונים אוקראיניים באמצעות נוזקה חדשה בשם SwiftSlicer. הנוזקה, ברגע שהופעלה, מוחקת קבצי מערכת שעל המחשב המושפע, כולל את קבצי ה-Shadow copies (המיועדים לאחזור המערכת), ולאחר מכן מבצעת אתחול למערכת הקורבן. נוזקה זאת התגלתה לראשונה ב-25 ינואר, 2023, כנגד חברת אבטחת סייבר אוקראינית.
השבוע בכופרה
ה FBI סיכל את הפעילות של קבוצת הכופר HIVE ומנעה תשלום של 130 מיליון דולר דמי כופר.
משרד המשפטים וה-FBI שיתפו פעולה עם Europol ורשויות אכיפת החוק הזרות במדינות רבות הכולל: גרמניה, הולנד, קנדה, נורווגיה, פורטוגל, רומניה ,שוודיה ועוד. הם הודיעו כי השביתו את קבוצת הכופרה Hive אשר השתמשה במודל של תוכנת כופר כשירות (RaaS) ופגעה בחברות שונות במגזרים שונים כמו החברה הדרום-קוריאנית, Hyundai Samho Heavy Industries המייצרת כ-40 ספינות ענק בשנה. ראה (״הסייבר״ 24.02.22) ואת חברת הדלק הרומנית ראה (״הסייבר״ 24.03.22). מיולי 2021 הקבוצה תקפה מעל 1500 קורבנות מעל 80 מדינות. ביולי 2022 ה-FBI חדר לתשתיות של HIVE והשיג את מפתחות ההצפנה וכך מנע מקורבנות לשלם 130 מיליון דולר. ה-FBI השיג מעל 100 מפתחות פענוח כדי לתת לקורבנות של HIVE. ביחד עם רשויות החוק הגרמנית וההולנדית היא השתלטה על השרתים והאתרים שבהם משתמשת Hive כדי כדי לשבש את יכולתה של Hive לתקוף ולסחוט קורבנות. בהצהרה ששחררה ה FBI הם אמרו כי ״ההכרזה של היום היא רק ההתחלה, נמשיך לאסוף ראיות, לבנות את המפה שלנו של מפתחי Hive, מנהלי מערכת וחברות קשורות, ולהשתמש בידע הזה כדי להניע מעצרים, תפיסות ופעולות אחרות, בין אם על ידי ה-FBI או השותפים שלנו כאן ומחוצה לה.״
קבוצת הכופרה Lockbit ממשיכה לתקוף בין הקורבנות חברת תעופה אלבנית
על פי ציוץ של חוקר הסייבר עידו כהן, קבוצת הכופרה עדכנה באתר הקורבנות שלה בעוד 15 קורבנות שנפלו קורבן ודרישת הכופר מקורבנות אלה עומד על 5.5 מיליארד דולר. בין הקורבנות חברת התעופה "Air Albania". על פי האתר The Cyber Express לחברת התעופה יש עד ה 14 בפברואר לתשלום הכופר, כרגע אין עדיין תגובה מחברת התעופה. עוד שם שנכלל כחלק מקבוצת הקרבנות היא שלוחת השידור הציבורית בסקרמנטו, קליפורניה. שנפרצה באוקטובר 2022.
ממשלת אוסטרליה תוביל צוות גלובלי למלחמה בכופרה
ממשלת אוסטרליה הודיעה על הפעלת צוות גלובלי הנועד להילחם בהתגברות מתקפות הכופרה, הצוות יפעל תחת התוכנית למלחמה בכופרה של ארצות הברית שמורכבת מ 37 ממשלות. השרה לביטחון פנים וסייבר של אוסטרליה קלייר אוניל אמרה כי צוות הפעולה יעבוד בשיתוף פעולה גלובלי במטרה לשבש להילחם ולהגן כנגד האיום המתגבר של מתקפות כופרה וקראה למדינות נוספות להצטרף למאמץ. פעולות הצוות למלחמה בעליית הכופרה יכללו בין היתר שיתוף מידע, שיתוף ופיתוח הגדרות אבטחה ושיתוף פעולה בין גופי אכיפת חוק לגופים העוסקים בסייבר.
Lockbit משתמשת בקוד המקור של Conti לבניית וריאנט חדש לנוזקה
ציוץ חדש של vx-underground מציין כי קבוצת התקיפה Lockbit מפרסמת וריאנט נוסף ל-״Encryptor" שלה בשם ״Lockbit Green" וביצעו שינויים בקוד המקור לוריאנט שמיועד לשרתים המאוחסנים על ESXi. מאז שוריאנט זה פורסם בפומבי חוקרים מצאו דגימות של הוריאנט ברחבי VirusTotal ואתרי שיתוף נוזקות נוספים. חוקר נוזקות בשם CyberGeeksTech ביצע הנדסה לאחור של וריאנט "Lockbit Green" וציין כי מדובר בנוזקת כופרה המבוססת על קוד המקור של ה-״Encryptor״ של Conti שהודלפה. קבוצת התקיפה Conti נסגרה לאחר מספר דלפי מידע ״מביכים״ שנגרמו בעקבות הדלפת 170,000 הודעות פנימיות של הקבוצה וקוד המקור שלה. לא עבר זמן רב עד שקבוצות תקיפה אחרות החלו להשתמש בקוד המקור של ה-״Encryptor" שלהם על מנת ליצור כופרה משלהם ובאופן אירוני חלק מהם אף שימשו נגד מחשבים מרוסיה. קבוצת התקיפה "Lockbit" ופעילותיה לאורך השנים התבססו על מספר רב של וריאנטים לנוזקת הכופרה שלהם שהחלה עם וריאנט שנבנה מאסף ועד שעברו לוריאנט העכשווי "Lockbit 3.0" שמבוסס על קוד המקור של קבוצת התקיפה "BlackMatter".
סייבר בגופי בריאות
Atlantic General Hospital חווה מתקפת כופרה
ביום שני האחרון (30.1), בית החולים הכללי אטלנטיק דיווח כי הוא מתמודד עם אירוע כופר, כאשר דובר בית החולים מסר כי סיבת השיבוש נחקרת כעת. עוד מסרו כי בעודם חווים שיבושים ברשת, ההשפעה על המטופלים הינה מוגבלת. חדר המיון של בית החולים ממשיך לקלוט ולטפל בחולים וימשיך לבצע ניתוחים אלקטיביים והליכי אשפוז אחרים. מתקני בית החולים ישארו פתוחים וכל השירותים ממשיכים לפעול, למעט בית המרקחת, מעבדת החוץ של בית החולים ובדיקות לתפקוד ריאות.
קליפורניה: סוכנות הבריאות Livingston Memorial VNA מדווחת על חשיפת נתונים בעקבות מתקפת כופרה
בחודש שעבר (ינואר, 2023), סוכנות הבריאות Livingston Memorial דיווחה לתובע הכללי של מונטנה על הפרת נתונים, לאחר שחוותה ככל הנראה מתקפת כופר. המתקפה הביאה לכך שגורם לא מורשה קיבל גישה למידע רגיש של מטופלים. עם זאת, הנתונים שנפגעו כתוצאה ממתקפת הסייבר טרם פורסמו לציבור. בעקבות כך, החל התאגיד בהפצת הודעות על הפרת הנתונים לכל המטופלים שהושפעו מהאירוע האחרון.
האירוע החל לפני כשנה, 19 בפברואר 2022, כאשר נודע לסוכנות הבריאות כי חלק ממערכות המחשב שלה הוצפנו. בתגובה, חסמה את הגישה הבלתי מורשית והחלה לחקור ולטפל בנושא עם חברת אבטחת סייבר חיצונית. החקירה אישרה כי גורם לא מורשה השיג גישה למערכת המחשב של הסוכנות וגם כן למידע מוצפן הכלול בחלק מהקבצים. Livingston Memorial הצליחה גם לקבוע שחלק מהקבצים שנפרצו הכילו מידע סודי. בהתגלה הדבר, החלה לבדוק את הקבצים כדי לקבוע איזה מידע נפגע ואילו מטופלים הושפעו. תהליך זה הושלם ב-3 בנובמבר 2022, אך עם זאת עדיין לא אישרו גורמי הסוכנות בפומבי את המידע שהיה חשוף לגישה הבלתי מורשית.
מטופלים אשר קיבלו הודעה בנושא, חשוב כי יכירו את הסיכון ומה באפשרותם לעשות על מנת להגן על עצמם מהונאה או גניבת זהות בעקבות המתקפה על Livingston Memorial. המדריך שפורסם בנושא מפרט גם את האפשרויות המשפטיות של אותם מטופלים להגנה על עצמם.
איגוד בתי החולים האמריקאי (AHA) מתריע מפני קבוצת Killnet המכוונת למגזר הבריאות
KillNet היא קבוצת האקרים פרו-רוסית הפעילה מאז ינואר 2022. היא ידועה בביצוע מתקפות DDoS נגד מדינות התומכות באוקראינה, ובמיוחד נגד מדינות נאט"ו. מתקפת DDoS היא מתקפה המביאה לאלפי בקשות חיבור וpackets הנשלחות לשרת היעד, וכתוצאה מכך מתרחשת האטה או אפילו השבתה, שעלולות להביא להפסקות שירות הנמשכות מספר שעות או אפילו ימים. אין וודאות לגבי הקשרים של KillNet לארגונים ממשלתיים ברוסיה כדוגמת שירות הביטחון הפדרלי הרוסי (FSB) או שירות המודיעין (SVR), ועם זאת ה AHA מתריע כי היא מהווה איום על תשתיות קריטיות. יעדי התקיפה של KillNet ידועים כמגזר הבריאות והמגזר הציבורי. חבר בכיר בקבוצת התקיפה איים בעבר על הקונגרס בפרסום מידע אישי של אמריקנים כתגובה על המדיניות הפרו-אוקראינית של הקונגרס. בדצמבר 2022, קבוצת ההאקרים טענה כי ברשותה כמות גדולה של מידע אישי מארגון בריאות אמריקאי הנותן שירותים לרבים מאנשי צבא ארה״ב.
במאי 2022, חבר ב- KillNet נעצר בעבור מתקפות על אתרי אינטרנט של ממשלת רומניה. בתגובה למעצר, Killnet דרשה את שחרורו ואיימה לפגוע במכונות הנשמה מצילות חיים בבתי חולים בריטיים וכן לפגוע במשרד הבריאות הבריטי. על פי דוח ה AHA הקבוצה נוטה להעצים את היכולות האמיתיות שלה, וחלק מהצהרותיה נועדות למשיכת תשומת לב ציבורית. עם זאת, היא מהווה איום למגזר הבריאות הציבורי ויש להערך למתקפות מסוגים אלה.
סייבר בעולם
CISA מוסיפה ל״קטלוג החולשות המנוצלות הידועות״ חולשה קריטית המשפיעה על מוצר של חברת Telerik
הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) הוסיפה לקטלוג שהיא מתחזקת חולשה (CVE-2017-11357, CVSS 9.8) שמקורה במוצר Telerik UI עבור ASP.NET AJAX (ספריית UI), ואשר עלולה לאפשר לתוקף מרוחק העלאה של קבצים והרצת קוד שרירותי.
CISA ממליצה לכל ארגון לפעול לטיפול בחולשה המנוצלת, על מנת לצמצם את חשיפתו לתקיפות סייבר.
דלף מידע הכולל קוד מקור של ענקית הטכנולוגיה Yandex
השבוע פורסם באתר האקרים מוכר, קוד מקור מתוך פרוייקטים שונים של החברה כמו Yandex Maps, Alice (AI assistant), Yandex360 (workspaces service), Yandex Market, Yandex Travel (travel booking platform), Yandex Pay (payment processing service) ועוד. בשיחה של Bleeping Computer עם החברה דווח על ידם כי מערכות Yandex לא נפרצו ונראה שהמידע הודלף ע״י עובד לשעבר שהיה נגיש לקוד המקור עד יולי 2022. עוד הוסיף עובד לשעבר בחברה כי המידע שהודלף לא כולל מידע על לקוחות החברה והמידע אינו מהוה סיכון ישיר לפרטיות לקוחות או טכנולוגיה קניינית. לפי דיווח של אתר החדשות Meduza.io, הקוד של מנוע החיפוש של Yandex מוגדר למנוע העלאה של תמונות של פוטין כנגד חיפוש מילים כגון 'bunker grandfather', 'dick in a suit', 'master thief', Nazi וכן הגנות כנגד חיפוש הסימבול Z שכאמור מסמל את רכבי צבא רוסיה ומוכר לעולם כסמל המלחמה בין רוסיה ואוקראינה.
הערכה שקבוצות התקיפה האיראניות Moses Staff ו- Abraham's Ax מופעלות ע״י אותו גורם.
בדוח של חברת Secureworks, מציגים החוקרים קווי דמיון המצביעים על הקשר שבין קבוצת התקיפה האיראנית Moses Staff המתמקדת ביעדים ישראליים, לבין Abraham's Ax שהופיעה לראשונה בנובמבר 2022 הטוענת כפועלת מטעם החיזבאללה ואשר ממומנת ע״י איראן (טרם נמצאו ראיות המשייכות את הקבוצה לחיזבאללה).
בין מאפייניה המשותפים קיים הדימיון בין תמונת הלוגו של שתי הקבוצות אשר בשתיהן יד מאוגרפת מושטת ומחזיקה באובייקט (מטה או גרזן). בחירת שמות תנ״כיים לקבוצות, וציטוטים דתיים המפוזרים באתרים.
כמו כן, שתי הקבוצות משתמשות ב WordPress כבסיס לאתרי ההדלפות שלהם, שני הדומיינים רשומים אצל אותו Register, ובשלבים הראשוניים של אתרי ההדלפות של הקבוצות הם התארחו באותו ה Subnet (תת רשת).
בנוסף קיים דימיון ויזואלי בסרטונים המופצים ע״י שתי הקבוצות אשר בשתיהן מוטיבים דומים כמו מבנה הסרטון, הצגה מהירה של מסמכים שנגנבו לכאורה מקורבנותיהם והצגת הפריצות שלהם בנוסח הוליוודי.
טרם זוהו אנדיקטורים או תוכנות זדוניות הקשורות לפעילות של Abraham's Ax, אך בהנחה והקבוצות אכן מנוהלות תחת יישות אחת, סביר שהם חולקות באותן כלים וטכניקות המזוהות עם Moses Staff כמו StrifeWater RAT ו DiskCryptor למטרות ריגול ושיבוש פעילות הקורבנותיהם.
צוות קונפידס ממליץ לצוותי אבטחה בארגונים להזין במערכות ההגנה את מזהי הקבוצות (IOCs) המצוים בדוח שפורסם.
מרכז הסייבר הלאומי של אנגליה מזהיר מפני מתקפות פישינג שמופעלות על ידי תוקפים מרוסיה ואיראן
מרכז הסייבר הלאומי של אנגליה פרסם אזהרה מפני מתקפות פישינג שמבוצעות על ידי קבוצות התקיפה SEABORGIUM הרוסית וקבוצת התקיפה TA453 האיראנית. קבוצות התקיפה מתמקדת באירגונים ויחידים באנגליה ומבצעת שימוש בטכניקת פישינג מתוחכמת הכולל איסוף מידע על הקורבן ושליחת מייל פישינג ממוקד . שתי קבוצות התקיפה משתמשות בטכניקות דומות אך אינם פועלות בשיתוף פעולה, קווי המתאר של התקיפה כוללים:
1) איסוף מידע על הקורבן שכולל שימוש בכלים הכוללים את חיפוש בגוגלת שימוש ברשתות חברתיות.
2) הכנה של תשתית התקיפה שכוללת יצירה של דומיינים שדומים לדומיינים של ארגונים מוכרים, שימוש בכתובות מייל של Outlook, Gmail ו Yahoo ליצירת קשר ראשונית.
3) העדפה לכתובות מייל פרטיות של מטרות על פני כתובות עסקיות וזאת על מנת לעבור אבטחות המוגדרות על כתובות מייל ארגוניות.
4) העברה של לינק זדוני בדרך כלל במסווה של לינק שמוביל למסמך או אתר אינטרנט בעל עיניים לקורבן, הלינק יכול להיות כלול בגוף המייל או כחלק ממסמך שמועבר ומוביל לשרת בשליטה של התוקף בו לרוב הקורבן מתבקש להזין פרטי חשבון.
5) לאחר קבלה של פרטי החשבון התוקפים מבצעים שימוש בפרטים על מנת להתחבר לחשבון הקורבן ומשמה לבצע את המשך המתקפה.
ההמלצות המצורפות למסמך כוללת שימוש בסיסמא חזקה לחשבון והפעלת אימות דו שלבי, עדכון של מכשירים ושירותים, ניטרול של אפשרות להפניית מיילים אוטומטית והפעלה של אפשרות סריקת מיילים אוטומטית של ספק המיילים והפעלת עירנות בכול הנוגע למיילים שמתקבלים.
הנוזקה GootKit ממשיכה להתפתח ומציגה רכיבים ואפשרויות חדשות
על פי Mandiant קבוצת התקיפה הידועה בשם UNC2565 שעיקר התקיפות שלה מוכוונות לעסקים ונמצאת במעקב של Mandiant מאז ינואר 2021, ולהם מיוחסת הנוזקה GootKit מציגים שינויים משמעותיים לנוזקה שלהם ביניהם רכיבים חדשים והסתרה של פעולות ההדבקה של הנוזקה. הנוזקה Gootkit הידועה גם בשם Gootloader מופצת באמצעות אתרי אינטרנט שהקורבנות מבקרים בהם בזמן חיפוש של מסמכים עסקיים כמו חוזים והסכמים באמצעות טכניקה הנקראת search engine optimization (SEO) poisoning/כאשר הקורבן מוריד את המסמך מהאתר מורד למחשב שלו קובץ ארכיון זיפ המכיל נוזקה הכתובה ב JavaScript כאשר היא מופעלת מורידה נוזקות נוספות כמו Cobalt Strike Beacon, FONELAUNCH, SNOWCONE נוזקות אלו מופעלות לאחר ההורדה שלהם על מחשב הקורבן באמצעות PowerShell בשלבים מאוחרים יותר של המתקפה. חושב להדגיש כי מטרת הנוזקה והתוקפים העומדים מאחורייה נשארה זהה והשינוי שנעשה הינו הוספת טכניקות של הסתרת התהליכים של הנוזקה והוספקה של שלבים למתקפה ואפשרויות מתקפה נוספות. הגרסה החדשה של הנוזקה נראתה לראשונה כבר בנובמבר 2022 וקיבלה את השם as GOOTLOADER.POWERSHELL.
סייבר בישראל
כנס ״סייברטק גלובל״ - מערך הסייבר הלאומי חושף את נתוני הסיכול של השנה האחרונה
ראש מערך הסייבר הלאומי גבי פורטנוי הציג בכנס ״סייברטק גלובל״ את נתוני הסיכול של המעך בשנה האחרונה, על פי הנתונים שהוצגו מערך הסייבר סיכל ומנע יותר מאלף ניסיונות מתקפות סייבר משמעותיים שהיו אמורות לגרום לזק כלכלי חמור. מעבר לניסיונות התקיפה החמורים מערך הסייבר סיכל בנוסף אלפי ניסיונות תקיפה נוספים שנצפו בישראל. כחלק מהדברים ציין גבי פורטנוי כי "ישראל חווה מתקפות סייבר כמו באזורים אחרים בעולם, אך בנוסף לכל אלו, יש לנו גם את איראן שמובילה מתקפה מאורגנת, מתוזמרת ואגרסיבית על מרחב הסייבר הישראלי" בנוסף הוסיף ואמר כי ״"ההגנה שלנו חזקה כתמיד. אנחנו רואים איך הם עובדים, פעמים רבות ללא הצלחה לגרום לנזק ממשי״. בנוסף במסגרת הנאום שלו הציג ראש המערך את מערכת ״כיפת סייבר״ של המערך שתספק כלים ושירותים לאירגונים דרך פורטל לאומי.
קמפיין תקיפה חדש באמצעות צרופות HTML
השבוע פרסם מערך הסייבר הלאומי התרעה אודות קמפיין תקיפה באמצעות צרופות מסוג HTML המגיע כמובן דרך סביבת המייל הארגוני. לפי הדוח שפורסם, הצרופות מכילות קוד JS ׳מעורפל׳ ומקודד מה שמקשה על צוותי ומערכות ההגנה בזיהוי. בחלק מהמקרים המדובר בקמפיין פישינג הנועד לגניבת פרטי זיהוי לסביבת MS 365 ובחלקם נועד הקובץ להריץ קוד זדוני בתחנת המשתמש. צוות קונפידס ממליץ לארגונים לבצע חסימה או בדיקה של צרופות מסוג html,htm,shtml ולהגביר את עירנות המשתמשים לגבי מקרי פישינג וקמפיינים דומים.
מתקפת פישינג חדשה עושה שימוש ב SMS שנשלח בשם Paybox או Bit
באזהרה שפורסמה על ידי משטרת ישראל בערוץ הפייסבוק והטוויטר של משטרת ישראל נמסר כי קיים קמפיין פישינג פעיל בחודשים האחרונים בארץ, שמנצל את העובדה כי משתמשי אפליקציות התשלומים הפופולריות Bit ו Paybox נדרשו להשלים לאחרונה פרטיים אישיים באפליקציות על מנת להמשיך להשתמש בשירות, בקמפיין זה הקורבנות מקבלים SMS עם לינק מצורף לביצוע עידכון פרטים באפליקציה.
צוות קונפידס ממליץ למשתמשי השירות לא לבצע עידכון פרטים דרך לינקים חיצוניים אלא ישירות מהאפליקציה הרלוונטית.
סייבר ופרטיות - רגולציה ותקינה
שיתוף פעולה בתחום הסייבר תחת הסכמי אברהם: הצהרה פומבית על התקדמות לקראת הסכם נוסף
בכנס סייברטק שהתקיים השבוע בתל אביב, הצהיר רוב סילברס, תת-מזכיר המחלקה לביטחון פנים (DHS) לאסטרטגיה, מדיניות ותוכניות של ארה"ב כי הסכמי אברהם שנתתמו באוקטובר 2020 בין ישראל, איחוד האמירויות הערביות, בחריין, מורוקו וסודאן יורחבו כדי לכלול נושאים של הגנת סייבר. מדובר בהבנות שמתגבשות כדי לקדם שיתוף פעולה במספר מישורים, כולל שיתוף מידע, המלחמה נגד פשע מקוון, ומתקפות כופרה. שתי סוגיות שעשויות למשוך תשומת לב ציבורי סביס התפתחות זאת הן פעילות משותפת במרחב הסייבר נגד איראן; והפצת כלי סייבר דו-שימושיים - שמאפשרות ניטור של גורמי פשע וטרור, אבל שקיים גם חשש לשימושם כדי לבצע מעקב אחר פעילי זכויות אדם, עיתונאים ואחרים. לגבי הרחבת הסכמי אברהם לתחום הגנת הסייבר, אמר רוב סילברס כי "זוהי חלק מהיסטוריה דיפלומטית, חלק מהיסטוריית הגנת הסייבר והזדמנות נפלאה להעמיק שותפויות ביטחוניות".
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, אלינה מיטלמן-כהן, יובל אוחנה, רוני עזורי, עמית מוזס, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי, תמר מרדיקס ושירי מס ברזילי.