WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 04.08.2022

עיקרי הדברים

  1. ישראל: מכללת ספיר והמכללה הלאומית לשוטרים תחת מתקפת סייבר; מערך הסייבר הלאומי מתריע: שרתי SysAid בישראל מהווים יעד לתקיפות.

  2. טייוואן: בעקבות ביקור פלוסי במדינה - מתקפת מניעת שירות על אתרים ממשלתיים.

  3. דוח חדש של Coveware: ירידה של 51% מהרבעון הראשון של 2020 בסכומי הכופר המשולמים להאקרים.

  4. מחלקת המדינה של ארה"ב מציעה עד 10 מיליון דולר למי שיספק טיפים שיסייעו למערכת אכיפת החוק לחקור ולשבש את פעולות הסייבר של קוריאה הצפונית.

  5. אנו ממליצים לעדכן את המוצרים הבאים: VMWare (קריטי); נתבי Cisco RV (קריטי); חבילת Samba (גבוה); ; דפדפן Google Chrome (גבוה); מוצרי Rockwell Authentication.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה ל-Samba נותן מענה לחמש חולשות שטרם נוצלו, בהן אחת ברמת חומרה גבוהה
ה-CISA מפרסמת דרכי מיטיגציה לחולשת צד שלישי המשפיעה על מספר מוצרי Rockwell Authentication
עדכון תוכנה ל-Google Chrome נותן מענה ל-27 חולשות, בהן 7 ברמת חומרה גבוהה
עדכוני אבטחה למוצרי VMWare נותנים מענה ל-10 חולשות, בהן חולשות קריטיות
עדכון אבטחה לנתבי Cisco RV נותן מענה ל-2 חולשות העלולות לאפשר הרצת קוד מרחוק והשתלטות על עמדות, אחת מהן קריטית

התקפות ואיומים

יותר מ-35 אלף מאגרי GitHub שוכפלו לצורך הפצת נוזקה
ממשלת ארה"ב מזהירה את אזרחיה מפני הסלמה במתקפות פישינג ב-SMS
נוזקת Lofy Stealer משמשת תוקפים לגניבת פרטים של משתמשי Discord, בהם גם פרטי בנק
תוקפים משתמשים בנוזקה המנצלת רוחב פס אינטרנטי לתקיפת שרתי MS-SQL ושימוש במשאבי מערכת
לאחר חסימת פקודות המאקרו ביישומי Microsoft Office: תוקפים משתמשים בקובצי ארכוב להחדרת נוזקות
נחשפה רשת דומיינים רחבת היקף לפיתוי משתמשים לביצוע השקעות מזויפות
DawDropper: סוס טרויאני הגונב מידע בנקאי ממכשירי Android
חוקרי Kaspersky טוענים כי גילו בערכת השבבים של Intel נוזקת Rootkit שאינה ניתנת להסרה
3,207 אפליקציות לטלפונים ניידים המאפשרות גישה לאפליקציית טוויטר נמצאו פרוצות; מפתחות ההצפנה של המשתמשים נחשפו
Manjusaka: נוזקה סינית חדשה המקבילה ל-Cobalt Strike
קמפיין Adversary-in-The-Middle רחב היקף נגד משתמשי Microsoft Mail Service

השבוע בכופרה

דוח חדש של Coveware: ירידה בסכומי הכופר המשולמים להאקרים
קבוצת התקיפה BlackCat טוענת כי תקפה את ספקית הגז והחשמל האירופית Creos; האירוע לא השפיע על אספקת המשאבים
מפעילי הנוזקה LockBit 3.0 מצאו פרצה להורדת Cobalt Strike דרך פקודת החיפוש של Windows Defender תוך חמיקה ממערכות אבטחה
ספרד: המועצה למחקר מדעי חוותה מתקפת כופרה

המלחמה במזרח אירופה

ארגונים רוסים הותקפו על ידי נוזקת Woody RAT הממנפת את חולשת Follina; מאחורי המתקפות עומדת קבוצה סינית או צפון קוריאנית

סייבר בעולם

קבוצות האקרים המקושרת ל-FSB הרוסי מרגלת אחר תשתיות קריטיות בגרמניה
ארה"ב מכריזה על סנקציות חדשות נגד רוסיה עקב התערבותה בתהליכי בחירות
ספרד: נעצרו שני עובדים לשעבר של המנהל הכללי למיגון אזרחי וחירום בחשד למעורבות במתקפה על רשת ההתרעה הרדיואקטיבית במדינה
סטודנט צרפתי בן 21 נעצר בשדה תעופה במרוקו בחשד שביצע עבירות סייבר בנסיבות מחמירות נגד אזרחים אמריקאים
אזרח אוסטרלי בן 24 נאשם שיצר ומכר תוכנות ריגול לפדופילים ולעברייני אלימות במשפחה
מיקרוסופט מייחסת את נוזקת Raspberry Robin לקבוצת התקיפה הרוסית EvilCorp
ה-CISA מוסיפה חולשה ל״קטלוג החולשות הידועות המנוצלות״ שלה
טייוואן: בעקבות ביקור פלוסי במדינה - מתקפת מניעת שירות על אתרים ממשלתיים

סייבר בישראל

מערך הסייבר הלאומי: שרתי SysAid בישראל מהווים יעד לתקיפות
חשד למתקפת סייבר על אתרה של מכללת ספיר
אתרי נמלים בישראל ואתר האקדמיה לשוטרים חווים מתקפת מניעת שירות

סייבר ופרטיות - רגולציה ותקינה

הגנה על מידע פרטי במגזר הבריאות: מכון התקנים של ארה"ב מפרסם הנחיה חדשה להגנה על מידע רפואי ובריאותי; הרשות להגנת הפרטיות בישראל מפרסמת את ממצאי הפיקוח על 40 חברות סיעוד
דוח חדש מודד רגולציה ממשלתית למשילות דיגיטלית: בריטניה, גרמניה, אוסטרליה, ניו זילנד וצרפת נוקטות בגישה המקיפה ביותר - ישראל במקום ה-24
ארה״ב: מחלקת המדינה מציעה עד 10 מיליון דולר למי שיספק טיפים שיסייעו בחקירת ושיבוש פעולות הסייבר של קוריאה הצפונית

כנסים

 
 

הציטוט השבועי

״הקרמלין מאיים ומערער שוב ושוב על התהליכים והמוסדות הדמוקרטיים שלנו. ארצות הברית תמשיך בעבודתה הענפה כדי להתמודד עם מאמצים אלה ולהגן על הדמוקרטיה שלנו מפני התערבותה של רוסיה.״ 

תת שר האוצר לטרור ולמודיעין פיננסי בריאן א. נלסון, בהודעה על סיכול פעולות ההשפעה הגלובלית של רוסיה ופעילויות התערבות בבחירות בארצות הברית ובעולם, יולי 2022

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה ל-Samba נותן מענה לחמש חולשות שטרם נוצלו, בהן אחת ברמת חומרה גבוהה

החולשות, שציון ה-CVSS שלהן נע בין 4.3 ל-8.8, עלולות לאפשר לתוקף (לרוב מקומי) להעלות הרשאות, לשנות סיסמאות של משתמשים אחרים ולהשתלט על מערכת הקורבן. הגרסאות הפגיעות של Samba הן אלה הקודמות ל-4.16.4, וכן גרסאות 4.15.9 ו-4.14.14.

צוות קונפידס ממליץ למשתמשי המוצר להטמיע בהקדם את עדכוני האבטחה או המעקפים המופיעים בעדכון הרשמי של היצרן, וכן להימנע מחשיפה לאינטרנט של שרתים המשתמשים בפרוטוקול SMB ומלחיצה על קישורים או אתרים שאינם מוכרים.

ה-CISA מפרסמת דרכי מיטיגציה לחולשת צד שלישי המשפיעה על מספר מוצרי Rockwell Authentication 

החולשה (CVE-2022-1096), מסוג Type Confusion, התגלתה בחודש מרץ האחרון בדפדפן ה-Google Chrome. בשל האופן בו מוצרי Rockwell Authentication משתמשים בדפדפן, היא עלולה לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS) על מוצרים פגיעים, כמופיע ברשימה הבאה:

  • FactoryTalk Linx Enterprise - גרסאות 6.20, 6.21 ו-6.30.

  • Enhanced HIM (eHIM) for PowerFlex 6000T - גרסה 1.001.

  • Connected Components Workbench - גרסאות 11, 12, 13 ו-20.

  • FactoryTalk View Site Edition - גרסה 13.

החברה, שטרם פרסמה עדכון הנותן מענה לחולשה, דיווחה על הדבר לסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), שפרסמה דרכים אפשריות לעקיפת החולשה.
צוות קונפידס ממליצים למשתמשי Rockwell Automation לפעול על פי המלצות ה-CISA, לעקוב אחר פרסומי היצרנית ולהטמיע את עדכוני האבטחה, לכשישוחררו. 


עדכון תוכנה ל-Google Chrome נותן מענה ל-27 חולשות, בהן 7 ברמת חומרה גבוהה

15 חולשות נוספות הן ברמת חומרה בינונית. גרסה 104.0.5112.79 ששוחררה בעדכון רלוונטית למערכות Mac ו-Linux, ואילו גרסה 104.0.5112.79/80/81 רלוונטית למערכות מבוססות Windows.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.

עדכוני אבטחה למוצרי VMWare נותנים מענה ל-10 חולשות, בהן חולשות קריטיות

העדכונים רלוונטיים למוצרים הבאים, בכל מערכות ההפעלה:

  • VMware Workspace ONE Access

  • VMware Workspace ONE Access Connector

  • VMware Identity Manager - vIDM

  • VMware Identity Manager Connector - vIDM Connector

  • VMware vRealize Automation - vRA

  • VMware Cloud Foundation

  • vRealize Suite Lifecycle Manager

אחת מהחולשות (CVE-2022-31656, CVSS 9.8) שנסגרו בעדכון, המצויה ב-VMware Workspace ONE Access, היא חולשת מעקף אימות העלולה לאפשר לתוקף בעל גישה לממשק המשתמש (UI) להשיג הרשאות אדמין ללא צורך בהזדהות. חולשה קריטית נוספת (CVE-2022-31658, CVSS 8.0) שנמצאה באותו מוצר עלולה לאפשר לתוקף בעל גישה לרשת הקורבן להריץ בה קוד מרחוק (RCE).

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.


עדכון אבטחה לנתבי Cisco RV נותן מענה ל-2 חולשות העלולות לאפשר הרצת קוד מרחוק והשתלטות על עמדות, אחת מהן קריטית

החולשות שנסגרו בעדכון (CVE-2022-20827, CVSS 9.0; CVE-2022-20841, CVSS 8.3), המיועד לנתבים לעסקים קטנים, עלולות לאפשר לתוקף בעל גישה פיזית לנתב או חיבור לרשת האלחוטית שלו להריץ על הנתב קוד בהרשאות גבוהות, ובכך להשתלט על מחשבים נוספים הנמצאים תחת רשת הנתב. העדכונים רלוונטיים למוצרים הבאים:

  • RV160 VPN Routers

  • RV160W Wireless - AC VPN Routers

  • RV260 VPN Routers

  • RV260P VPN Routers with PoE

  • RV260W Wireless - AC VPN Routers

  • RV340 Dual WAN Gigabit VPN Routers

  • RV340W Dual WAN Gigabit Wireless - AC VPN Routers

  • RV345 Dual WAN Gigabit VPN Routers

  • RV345P Dual WAN Gigabit POE VPN Routers

​צוות קונפידס ממליץ למשתמשי המוצרים להטמיע את עדכון התוכנה ש-Cisco הפיצה ללקוחותיה.

התקפות ואיומים

 יותר מ-35 אלף מאגרי GitHub שוכפלו לצורך הפצת נוזקה

בפרסום של מפתח התוכנה סטפן לייסי מופיע מה שנראה כקוד זדוני שנמצא שנמצא בעשרות אלפי מאגרי GitHub, בהם גם מאגרים מוכרים בתחומים כמו קריפטו, Python ,Golang ,JS ,bash ,Docker ,Kubernetes ועוד. במבט ראשון נראה כי מדובר במתקפה מסיבית על GitHub, שאפשרה לתוקף לבצע Push לקוד זדוני באותם מאגרים. סברה זו התחזקה על בסיס Commits שביצעו מחברי המאגר המקוריים אל אותו מאגר נגוע. בירור קצר העלה שאותם Commits שבוצעו אינם חתומים על ידי GPG, חתימה נפוצה בקרב משתמשי Linux לצורך אימות המידע אותו הם מורידים. עוד נמצא כי לא מדובר במאגרים שהודבקו, אלא בכאלה ששוכפלו על מנת להיראות זהים ככל הניתן למאגרים המקוריים. הקוד הזדוני, הכתוב בשפת Go, מבצע תקשורת עם דומיין רוסי ovz1.j9544519.pr46m.vps.myjino[.]ru על פורט 49460 והעתקה ושליחה של משתני הסביבה של הסקריפט אליו הוא שייך. בין המשתנים אותם הוא גונב מצויים Security Keys ,AWS Access Keys ,Crypto Keys ואחרים. לאחר שליחת משתני הסביבה מורץ על השרת המודבק קוד שרירותי. סטפן לייסי גילה את הדבר כאשר בדק פרויקט מסוים שמצא באינטרנט וביקש להטמיעו בתהליך פיתוח עליו עבד. הממצא מדגיש עד כמה חשוב להיזהר בעת שימוש באלמנטים שמקורם באינטרנט. לאחר שהדבר דווח ל-GitHub, הוסרו משרתיו כל המאגרים שהכילו את הקוד.

צוות קונפידס ממליץ למפתחים ולשאר משתמשי GitHub לבחון בקפידה שורות קוד של פרויקטים שהם מבקשים להטמיע בסביבותיהם, בין היתר על ידי בדיקת סוג מערכת ההפעלה וזמן המערכת בתחילת ההרצה, תוך השוואתו לזמן המערכת לאחר עצירה מסוימת. זמני השהיה מוזרים עשויים להעיד על טכניקות התחמקות מ-Sandbox. עוד יש לשים לב לתקשורות עם כתובות IP/דומיינים, להאזנה בפורטים (יצירת דלת אחורית), לבקשות HTTP חשודות, להעתקת משתני ENV ועוד.

ממשלת ארה"ב מזהירה את אזרחיה מפני הסלמה במתקפות פישינג ב-SMS

רשות התקשורת הפדרלית (FCC) של ארצות הברית מזהירה את אזרחי המדינה מפני גל הולך וגובר של התקפות פישינג ב-SMS, או Robotexts, בלשונה, אשר מטרתן לגנוב מהקורבנות מידע אישי וכספים. המתקפות מתבססות על מספרים שנראים לגיטימיים, וכוללות ניסיון להתחזות למשרדים ממשלתיים או למספרים מקומיים, על מנת להעלות את הסיכוי למענה מצד הקורבן. חלק מהטקסטים הנשלחים לקורבנות דומים לספאם הנשלח באמצעות המייל, ומכילים קישורים למוצרים שונים, כאשר על חלק מהקורבנות אף הופעל ״לחץ״ בדמותה של דרישה ללחוץ על קישור מזויף כדי להיכנס לאתר של בנק, כביכול, לשם ביצוע אימות רכישה ו/או הפעלת כרטיס אשראי אשר הוקפא בעבר. טקסטים אחרים כוללים הודעות כוזבות אודות משלוחים. העלייה החדה במתקפות ניכרת בנתונים הנאספים במסגרת המעקב שמבצעת הרשות אחר תלונות צרכנים, כאשר בשנת 2019 דווח על 5,700 מתקפות פישינג לעומת 15,300 ב-2021. על מנת להתגונן מפני המתקפות, ה-FCC ממליצה לאמריקאים לנקוט באמצעים הבאים:

  1. לא להגיב להודעות המתקבלות ממספרים חשודים או שאינם מזוהים.

  2. לעולם לא לשתף מידע אישי או פיננסי באמצעות הודעות. 

  3. לחפש בהודעות אחר שגיאות כתיב או טקסטים שמקורם בכתובת מייל.

  4. לא ללחוץ על קישורים הנשלחים בהודעות טקסט. 

  5. למחוק כל הודעה שנראית חשודה.

  6. לעדכן את מערכת ההפעלה תדיר.

  7. לשקול את התקנתה של תוכנת הגנה מפני נוזקות.

  8. לדווח על על הודעות מסוג זה למוקד של ה-FCC.

על רקע המתקפות, גם הארגון הפרטי ללא מטרות רווח Better Business Bureau, המתמקד בקידום האמון בשוק ברחבי ארצות הברית קנדה ומקסיקו, מזהיר צרכנים מפני הונאות מבוססות טקסטים, שרבות מהן עושות שימוש בצ׳אטבוטים.

נוזקת Lofy Stealer משמשת תוקפים לגניבת פרטים של משתמשי Discord, בהם גם פרטי בנק

בזמן שחוקרי Securelist מבית Kaspersky עקבו אחר מאגרי קוד פתוח, הם הבחינו בפעילות חשודה בדמותן של ארבע חבילות שהכילו "קוד Python זדוני מעורפל מאוד״ במאגר Node Package Manager) npm), שהינו בית קוד פתוח עבור מפתחי JavaScript לשיתוף ושימוש חוזר בחלקי קוד לבניית יישומי אינטרנט. 

לדברי החוקרים, קבוצות תקיפה משתמשות ב-npm להפצת נוזקות, שכן היות ומדובר במאגר המהווה שרשרת אספקה - קוד פגום או זדוני שיופיע בו יופץ בכל אפליקציה שתעשה בו שימוש, לכלל משתמשיה. בקמפיין הנוכחי, שכונה על ידי החוקרים LofyLife, זוהו במאגר חבילות שהכילו את נוזקת LofyStealer, אשר הופצה באמצעות פלטפורמת הפגישות הווירטואליות Discord ואיפשרה לתוקפים לנטר סשנים פתוחים של משתמשים, התחברויות משתמשים לפלטפורמה, שינוי מייל או סיסמה, שינוי הגדרות האימות הרב-שלבי (MFA) והוספת שיטת תשלום חדשה לחשבון, לרבות הזנת פרטי בנק מלאים. לאחר שנאסף, המידע נשלח לעמדה מרוחקת שבבעלות התוקפים. אין זו הפעם הראשונה בה Lofy Stealer משמשת לתקיפת משתמשי Discord. בדצמבר האחרון, חוקרים מ-JFrog זיהו קבוצה של 17 חבילות npm זדוניות בעלות עומסים וטקטיקות משתנות, שהתמקדו בפלטפורמת Discord, לה 350 מיליון משתמשים. בפרסום המלא ניתן למצוא את מזהי התקיפה (IOCs), כפי שזוהו על ידי האנטי-וירוס של Kaspersky. מ-Kaspersky נמסר כי תמשיך לנטר את מאגרי הקוד הפתוח לזיהוי נוזקות והבאת דבר קיומן לידיעת משתמשים.

צוות קונפידס ממליץ להוריד אפליקציות ולהשתמש בחבילות קוד פתוח רק לאחר שהתברר שמקורן אמין. עוד מומלץ לבצע בדיקות שמטרתן לקבוע אם מתבצע בארגון שימוש במערכת שמשתמשת בספרייה אשר נפגעה בקמפיין.

תוקפים משתמשים בנוזקה המנצלת רוחב פס אינטרנטי לתקיפת שרתי MS-SQL ושימוש במשאבי מערכת

חוקרים מחברת אבטחת המידע AhnLab גילו התקנות לא מורשות של Proxyware, המאפשרות מכירת שימוש ברוחב פס אינטרנטי שאינו בשימוש. לאחר שמשתמש לגיטימי מוריד אפליקציה ייעודית ומצטרף דרכה למערכת של ספקית פלטפורמה למכירת רוחב פס, למשל Peer2Profit ו-IPRoyal, יש באפשרותו להרוויח כסף ממכירת שימוש ברוחב פס פנוי. בעשותו כן מסתכן המשתמש בכך שהאדם שלו מכר את רוחב הפס יבצע באמצעותו פעולות כמו איסוף מודיעין והפצת תכנים. תוקפים הגונבים שימוש ברוחב פס באמצעות התקנות שאינן מורשות עושים זאת למטרות רווח כספי, כאשר לפי חוקרי AhnLab שרתי MS-SQL מהווים מטרה לנוזקה שככל הנראה מתקינה את תוכנת ה-Proxy, אשר מופצת באמצעות Dictionary Attack (שיטת פריצה למחשבים, לרשתות או למשאבי IT אחרים המוגנים בסיסמה, על ידי הזנה שיטתית של כל מילה במילון כסיסמה). מכיוון שהסיסמאות של שרתי MS-SQL חלשות, מתאפשרים פריצה ושימוש במשאבי המערכת הנגועה, כמו במקרה של כריית מטבעות קריפטוגרפיים. הנוזקה מופצת באמצעות מודעות פרסומת או מותקנת על שרתי MS-SQL פגיעים, ולכן חוקרי AhnLab ממליצים להימנע מהתקנת תוכנות ממקורות שאינם ידועים, וכן לעדכן את השרתים לגרסאותיהם האחרונות. במקרה של שימוש בשרתי מסד נתונים, יש לנהל מדיניות בקרת גישה והגדרות אישורי חשבון.

צוות קונפידס ממליץ להזין את מזהי התקיפה (IOCs) במערכות הניטור של ארגונים.

לאחר חסימת פקודות המאקרו ביישומי Microsoft Office: תוקפים משתמשים בקובצי ארכוב להחדרת נוזקות

לאחר שמיקרוספט חסמה הרצת פקודות מאקרו כברירת מחדל (ראו ״הסייבר״, 28.7.22), חברת אבטחת המידע Proofpoint מפרסמת כי תוקפים החלו להשתמש בקובצי ארכוב דחוסים (ISO ,RAR ואחרים) אשר דורשים חילוץ באמצעות אפליקציות שונות לשם פתיחתם, על מנת לקבל גישה ראשונית למערכותיהם של קורבנות. 

הסיבה לעלייה בשימוש בקבצים מסוג זה היא יכולתם לעקוף את הגנות חסימת המאקרו שנקבעו ולאפשר גישה למערכות ללא שימוש בפקודות אלה. מיקרוסופט חוסמת את הרצתן של פקודות מאקרו על פי הסממן (Mark of the Web (MOTW, הידוע גם בשם Zone.Identifier, שמראה אם קובץ הורד מהאינטרנט או לא. מכיוון שהסממן ניתן למעקף על ידי שימוש ב-Container File Formats (פורמטים של קבצים המאפשרים הטמעת זרמי נתונים מרובים בקובץ בודד, למשל ZIP ו-RAR), תוקפים משתמשים בפורמטים מסוג זה למשלוח מסמכים התומכים בפקודות מאקרו. בעת ההורדה, לקבצים יהיה MOTW מכיוון שהורדו מהאינטרנט, אך למסמך שבתוכם, כגון גיליון אלקטרוני המאפשר הרצת מאקרו, לא יהיה כזה. לאחר חילוץ המסמך, המשתמש עדיין יצטרך להפעיל את האפשרות להריץ פקודות מאקרו כדי שהקוד הזדוני יבוצע באופן אוטומטי, אך מערכת הקבצים לא תזהה את המסמך ככזה שהגיע מהאינטרנט. נוסף על כך, תוקפים יכולים להשתמש ב-Container File Formats להפצת קבצים זדוניים באופן ישיר, שכן כאשר הם נפתחים הם עשויים להכיל תוכן נוסף, כגון LNKs, DLLs או קובצי הפעלה מסוג EXE., המובילים להתקנת תוכנה זדונית. החוקרים מעריכים שכיום זהו אחד מאיומי התקיפה באמצעות מייל הגדולים ביותר, וסביר להניח שתוקפים ימשיכו להשתמש ב-Container File Formats להפצת נוזקות, ויסתמכו פחות על צרופות התומכות במאקרו.
צוות קונפידס ממליץ להימנע מהורדת קבצים ממקורות שאינם ידועים, להתקין על כל מערכות הארגון מערכת אנטי-וירוס ו/או EDR ולעדכנה על בסיס קבוע, ולחסום קבלת קבצים מהסוגים האמורים, במידה ואינם חיוניים.

נחשפה רשת דומיינים רחבת היקף לפיתוי משתמשים לביצוע השקעות מזויפות 

חוקרים מחברת אבטחת המידע Group-IB חשפו לאחרונה רשת הכוללת יותר מ-11,000 דומיינים שמשמשים לקידום תוכניות השקעה מזויפות, כשעל הכוונת משתמשים ברחבי אירופה. המטרה: שימוש בהנדסה חברתית עמוקה לשכנוע קורבנות להעביר עוד ועוד כספים לפורטל השקעות מזויף, לרוב באמצעות הבטחות שווא לתשואה גבוהה במיוחד, תוך הצגת סיפורי ״איך התעשרתי״ בהשתתפות סלבריטאים, ודשבורד מזויף המציג תשואות נחשקות. ההונאה מופצת באמצעות מודעה ברשתות חברתיות, כאשר הרישום הראשוני ל״הזדמנות״ כרוך בהפקדת סכום של 250 אירו, לכל הפחות. כחלק מתהליך הרישום, מנהל מטעם ״החברה״ יוצר עם הקורבן קשר במטרה לעזור לו למקסם את רווחיו, כביכול, על ידי הפקדת סכום גדול יותר. בשלב האחרון של התרמית, ה״מנהל״ יבקש מהקורבן לבצע הפקדה נוספת, בטענה שסכום ההפקדות שביצע עד כה לא הגיע אל הסף הנדרש. במידה והקורבן מסכים להפקיד את הסכום הנוסף, הוא יקבל עוד ועוד בקשות לביצוע הפקדות, עד שיבין שנפל קורבן לתרמית, וכי כל הכסף שהשקיע עד כה נעלם.

צוות קונפידס ממליץ שלא למסור פרטים אישיים ו/או פיננסיים או להעביר כספים מבלי לוודא שמדובר באתר לגיטימי. כאשר מבקשים לבצע השקעות, מומלץ לבדוק באתרים ייעודים שאכן מדובר במתווך לגיטימי ואמין ולחפש ביקורות שכתבו אנשים שעמדו איתו בקשר ויוכלו לאשר את אמינותו. בנוגע לדומיינים מזויפים המשמשים לתרמית, קל לזהותם על סמך העובדה שלרוב חייהם קצר. אי לכך, מומלץ לבדוק את מועד רכישת הדומיין שדרכו נרשמים לביצוע ההשקעה, ולוודא שאינו חדש.

DawDropper: סוס טרויאני הגונב מידע בנקאי ממכשירי Android

דוח טכני של חוקרי חברת Trend Micro, חושף את אופן פעולתם של DawDropper והתוקפים העושים בו שימוש. מן הדוח עולה כי במקרה זה קובצי ה-Dropper הם אפליקציות טרויאניות המתחזות לשירותי פרודוקטיביות על מנת לחמוק מבדיקות האבטחה של חנות האפליקציות Google Play, כל זאת לשם התקנת נוזקות וגניבת נתונים רגישים מהקורבן. בסוף 2021 גילו החוקרים קמפיין זדוני אשר מינף גרסה חדשה של אפליקציות Banking Dropper המתחזות לאפליקציות שונות, כגון סורקי מסמכים, קוראי קוד QR, מקליטי שיחות ושירותי VPN, ואשר בפועל מניחות על עמדת הקורבן טרויאנים גונבי מידע בנקאי, למשל Octo ,Hydra ,Ermac ו-TeaBot. לשיטה יעילה זו יש ביקוש רב, והיא מוצעת על ידי האקרים כ-Dropper-as-a-Service, או Daas.

כדי לחמוק מזיהוי ולהשיג בצורה דינאמית כתובות להורדת ה-Payload, ה-Dropper משתמש ב-Firebase Realtime Database, שירות ענן לגיטימי של צד שלישי לאחסון נתוני NoSQL, אלא שבמקרה זה השירות משמש את התוקפים כשרת C2 ולאירוח מטענים זדוניים ב-GitHub. המאמר הנוכחי מתמקד בניתוח של נוזקת Octo, המסוגלת ליירט הודעות SMS, להשתלט על מכשיר הקורבן ולגנוב מידע בנקאי. לאחר הורדה מוצלחת של Octo אל המכשיר, היא משיגה הרשאות המאפשרות לה, בין היתר, להשאיר את המכשיר ״ער״, להקליט או להשחיר מסך, להשתיק את המכשיר לטשטוש פעילות זדונית ולהירשם לשירות מתוזמן אשר יפתח ערוץ תקשורת עם השרת המרוחק, כל זאת לשם איסוף והעברת נתונים בנקאיים רגישים, לרבות אישורים בנקאיים, כתובות מייל, סיסמאות וקודי PIN. עוד ביכולתה של הנוזקה להשבית את שירות ה-Google Play Protectֿ הסורק אפליקציות לזיהוי התנהגות זדונית, ולאסוף נתונים רגישים נוספים, בהם מספרי טלפון של אנשי קשר, אפליקציות המותקנות על המכשיר, הודעות ועוד.
צוות קונפידס ממליץ להוריד אפליקציות אך ורק ממקורות אמינים ולבדוק את הביקורות שנכתבו עליהן ואת מספר הפעמים שהורדו - נתונים אשר יכולים להוות אינדיקציה נוספת בנוגע לאמינותן.

חוקרי Kaspersky טוענים כי גילו בערכת השבבים של Intel נוזקת Rootkit שאינה ניתנת להסרה 

לדברי חברת אבטחת המידע, נוזקת CosmicStrand מותקנת בלוחות אם מתוצרת ASUS ו-Gigabyte, בהם מצויה ערכת השבבים של Intel שהושקה ברבעון השלישי של 2013 ושימשה את מעבדי ה-Core מהדור הרביעי ומעלה. נראה כי חולשה כלשהי בערכת השבבים אפשרה לתוקפים להתקין את הנוזקה, המקנה להם אחיזה וגישה מלאות למחשבים ולמידע השמור בהם. מכיווו שהתוכנה המפעילה את שבבי לוח האם פועלת בשלב ראשוני מאוד בעת אתחול המחשב, עוד בטרם נטענת מערכת ההפעלה, אין כמעט דרך להסיר את הנוזקה, וגם תוסר - היא תשוב ותתקין את עצמה בפעם הבאה שיאותחל המחשב. עד כה, חוקרי Kaspersky זיהו קורבנות של הנוזקה בסין, בווייטנאם, באיראן וברוסיה, כולם קורבנות פרטיים, שאינם קשורים לחברה או תעשייה ספציפיות. בשלב זה, הסברה היא כי מדובר בתוקף דובר סינית.

3,207 אפליקציות לטלפונים ניידים המאפשרות גישה לאפליקציית טוויטר נמצאו פרוצות; מפתחות ההצפנה של המשתמשים נחשפו 

על פי הדיווח, נחשפו מפתחות ה-API של משתמשי עשרות אפליקציות המתחברים דרכן לטוויטר, כאשר ב-230 מהאפליקציות נחשפו אישורי אימות המאפשרים לתוקף להשתלט על משתמשי טוויטר, ובכך למחוק ולהסיר עוקבים, לשנות את הגדרות המשתמש ואת תמונתו ועוד. ממשק ה-API משמש מפתחי אפליקציות המעוניינים לאפשר גישה מהאפליקציה לצד שלישי, במקרה זה לטוויטר. לשם כך, על מפתחים להשתמש באישורים הרלוונטיים. לפני העלאת האפליקציה לחנויות המכירה, המפתחים מוודאים כי הכל עובד כשורה, אך לעתים הם שוכחים להסיר מהאפליקציה את האישורים ״הייחודיים״, עמם ביצעו את הבדיקה, והאפליקציה מופצת ביחד איתם לקהל הרחב. טעות זו עלולה להיות מנוצלת על ידי תוקפים לשימוש באישורים על מנת להגיע לכל המשתמשים הנכנסים לטוויטר דרך אותה אפליקציה.

צוות קונפידס ממליץ לשנות מעת לעת את מפתחות ההצפנה של ה-API, בכדי למנוע ניצול במידה והקוד הקודם הודלף.

Manjusaka: נוזקה סינית חדשה המקבילה ל-Cobalt Strike

חוקרי צוות Talos של Cisco, שגילו את הנוזקה החדשה, מתייחסים אליה כמקבילה ל-Sliver ול-Cobalt Strike, תוכנות לגיטימיות לביצוע סימולציות מתקפה, שהפכו לכלי תקיפה לביצוע פעולות כמו סריקת רשתות, תנועה רוחבית ברשתות ועוד. Manjusaka (״פרח פרה״, בסינית), שמפתחיה מגיעים, ככל הנראה, ממחוז גואנגדונג שבסין, כתובה בשפת Rust והיא בעלת תשתית לביצוע מתקפות על מערכות מבוססות Windows ו-Linux. 

ממשק הנוזקה מופץ בחינם ויכול לייצר בקלות ובפשטות יישום שלה בעל הגדרות מיוחדות, דבר שעלול להוביל לניצול רחב של הנוזקה. יישומה של Manjusaka כולל יכולות Remote Access Trojan) RAT) רבות, בהן מספר פעולות סטנדרטיות, ממשק ניהול קבצים ייעודי ויכולות הרצת קוד, כריית פרטי כניסה (Credentials) מרוב הדפדפנים, איסוף סיסמאות WiFi, צילום תמונות מסך, קבלה מידע מקיף על המערכת הנתקפת ואף פריסת מערכת ניהול קבצים, שיכולה לאפשר את ביצוען של פעולות ניהול קבצים וספריות במערכת הנגועה. 

כל הפעולות הללו רלוונטיות למערכות מבוססות Windows ו-Linux, פרט לכך שב-Linux לא ניתן לאסוף פרטים מדפדפנים מבוססי Chrome וסיסמאות WiFi. בנוסף לממשק הנוזקה, כחלק מתשתיתה ישנו שרת C2 שנכתב בשפת Golang (פרטיו פורסמו והוא ניתן להורדה מ-GitHub) ואשר שולח בקשות HTTP לכתובת קבועה (http[:]//39[.]104[.]90[.]45/global/favicon.png) המכילה עוגייה קבועה ומוגדרת מראש. עוגייה זו כוללת בקשת HTTP נוספת, המקודדת ב-base64, שבתורה רושמת את העמדה לשרת ה-C2. ממשק ה-C2 יכול לנטר ולנהל עמדות נגועות ולהעביר חבילות זדוניות למערכות Windows ול-Linux, אך רבות מהפונקציות שלו אינן זמינות בגרסה החינמית של הנוזקה, דבר שיכול להעיד על כך שהנוזקה עדיין בשלבי פיתוח, או שהמפתח מפיץ גרסה נוספת בתשלום, הכוללת את הפונקציות הללו. אלמנט נוסף שכלול בתשתית הנוזקה הוא פאנל אדמין לניהול, המאפשר לתוקפים ליצור גרסאות מקוסטמות של יישום הנוזקה בשפת Rust, כאשר גם פאנל הניהול וגם שרת ה-C2 נבנו על בסיס Gin Web Framework

צוות Talos חשף את הנוזקה במהלך חקירת מסמך Word שהופץ כמסמך בנושא התפרצות של נגיף הקורונה בעיר גולמוד שבמחוז צ׳ינגהאי, מה שמהווה חלק בפאזל של קביעת לוח הזמנים של פעילות הנוזקה. זאת ועוד, הנוזקה נכתבה בשפת תכנות מודרנית, שמאפשרת לכותב להוסיף בקלות פלטפורמות למתקפה, כמו מערכות הפעלה של Mac או גרסאות ״אקזוטיות״ יותר של Linux.

קמפיין Adversary-in-The-Middle רחב היקף נגד משתמשי Microsoft Mail Service

ביוני 2022 הבחינו חוקרי אבטחת מידע של ThreatLabz בעלייה בשימוש בכלי פישינג מתקדמים בקמפיין רחב היקף, בו זוהו מספר דומיינים חדשים ששימשו למתקפות פישינג לצורך גניבת משתמשים. הקמפיין בלט באופן מיוחד, בין היתר בשל שימוש במתקפת Adversary-in-The-Middle או AiTM, תוך עקיפת מנגנון האימות הדו-שלבי (2FA) של מיקרוסופט. התוקפים נצפו משתמשים במספר טכניקות על מנת להישאר ״מתחת לרדאר״ בשלבים שונים של המתקפה, כשמטרתם לעקוף את פתרונות אבטחת המייל והרשת ולהגיע למשתמשי הקצה שמאחורי חשבונות של ארגונים המנהלים את סביבת המייל שלהם באמצעות שירותי המייל של מיקרוסופט. מרבית הארגונים שנתקפו מצויים בארצות הברית, בבריטניה, בניו זילנד ובאוסטרליה, רובם באמצעות דומיינים שהתחזו לאיגודי אשראי פדרליים, בשגיאת כתיב מסוימת, לדוגמה:
דומיין לגיטימי: crossvalleyfcu[.]org
דומיין מתחזה: crossvalleyfcv[.]org

נראה כי רוב המתקפות החלו במייל זדוני שנשלח אל מנכ״ל הארגון. לאחר מכן נעשה שימוש ב-Business Email Compromise, או BEC, להפצת המיילים בדרך זהה אל שאר משתמשי הארגון באמצעות משתמש המנכ״ל. על מנת לעקוף את מנגנוני ה-2FA השתמשו התוקפים בטכניקה שונה מאלה שנצפו בקמפייני פישינג אחרים לצורך גניבת משתמשים. הטכניקה הקונבנציונלית מתבססת על דף פישינג המאחסן את שם המשתמש והסיסמה במאגר מסוים אליו יכול התוקף לגשת במועד מאוחר יותר. במידה והמשתמש מוגן באימות דו-שלבי, לא ניתן למנף את גניבת המשתמש, מכיוון שלתוקף אין גישה לכך. לכן, התוקפים בקמפיין האמור משתמשים בטכניקת Adversary-in-The-Middle לביצוע אימות לחשבון המשתמש באופן ישיר בעת הזנת הפרטים על ידי הקורבן. בצורה זו דף הפישינג מתווך בין הקורבן לבין שרת האימות של מיקרוסופט, כאשר הקורבן מזין את קוד ה-2FA בזמן אמת ומועבר ישירות אל שרת האימות של מיקרוסופט.

לצורך חקירת פעולות התוקף לאחר נפילת הקורבן ברשת, צוות החוקרים של ThreatLabz הקים משתמש דמה, ביקר באחד הדומיינים של התוקף, הזין בו פרטים והשלים את תהליך ה-2FA. הדבר איפשר לחוקרים לזהות שכעבור 8 דקות התוקף התחבר מכתובת IP שונה מזו של ערכת ה-AiTM שהיתה בדומיין בו ביקרו החוקרים, דבר המעיד על כך שהוא מבצע את הפעולות באופן ידני. לאחר חשיפת חשבון הדמה, התוקף התחבר אל המשתמש, צפה בפרטי הפרופיל וקרא הודעות בתיבת המייל.

השבוע בכופרה

דוח חדש של Coveware: ירידה בסכומי הכופר המשולמים להאקרים  

לאחר שתי תקיפות הכופרה המשמעותיות ביותר בשנה שעברה - המתקפה נגד חברת הולכת הדלקים האמריקאית Colonial Pipeline (ראו ״הסייבר״, 13.5.21 ו״הסייבר״, 20.5.21) ותקיפתה של Kaseya (ראו ״הסייבר״, 8.7.21), המספקת שירותי ניהול וייעול לצוותי IT ואבטחה, חברות גדולות וקטנות ברחבי העולם החלו להשקיע מאמצים בשיפור דרסטי של אבטחתן, על מנת להתגונן מפני מתקפות מסוג זה. מדוח שפרסמה כעת חברת Coveware, עולה ש-86% מתקיפות הכופרה מתבססות על ״איום דלף מידע״ מהארגון הנפרץ, במידה ולא ישולם הכופר. העדויות שנאספו על ידי האנליסטים של Coveware מראות שלמרות שחברות משלמות כופר לקבוצות תקיפה, אלה האחרונות אינן מוחקות את המידע שגנבו ואף מפרסמות אותו. לאחרונה, ניכרים צעדים המקדמים את מניעתם של תשלומי הכופרה: המרכז הלאומי לאבטחת סייבר בבריטניה (NCSC) דרש לערוך בדיקה של ההדרכות הניתנות לחברות בנושא אירועי כופרה, מתוך תפיסה לפיה תשלום כופר אינו מסייע לצמצום פעילותן של קבוצות הכופרה, ואילו שתי מדינות בארצות הברית, פלורידה וקרוליינה הצפונית, החליטו לערוך ניסוי בו אסרו על מוסדות עירוניים לשלם דמי כופר. בהמשך ישיר לכך, קבוצות כופרה גדולות, כמו Conti, החליטו לשנות את אופן פעילותן - מתוקפות לנותנות שירותים בתשלום (למשל ייעוץ ו״כופרה כשירות״ - RaaS, או Ransomware as-a-Service) לקבוצות קטנות יותר, אשר תוקפות ארגונים קטנים, דבר המקטין את הסיכון להיחשף. נכון להיום, הקבוצות המובילות בשוק הכופרה הן: (BlackCat (16.9%), LockBit (13.1%), Hive (6.3%), Quantum (5.6% ו-( Conti V2 (5.6%. לפי הדוח, ברבעון השני של 2022 עלה ממוצע תשלומי הכופרה ב-8% ביחס לרבעון הראשון, אך גובה תשלום הכופר החציוני ירד ב-51%, דבר המשקף את חוסר ההיענות של חברות גדולות שנתקפו לדרישות התשלום של התוקפים. 

קבוצת התקיפה BlackCat טוענת כי תקפה את ספקית הגז והחשמל האירופית Creos; האירוע לא השפיע על אספקת המשאבים

חוקר האיומים בראט קאלו פרסם בחשבון הטוויטר שלו כי קבוצת התקיפה, הידועה גם בשם ALPHV, טוענת כי היא האחראית למתקפת שאירעה בשבוע שעבר על החברה מלוקסמבורג, המספקת אנרגיה לחמש מדינות ברחבי אירופה. Creos, אשר בבעלות קבוצת Encevo, דיווחה באתרה כי בהמשך לאירוע, ובהתאם לחובות משפטיות, היא מאשרת שהיתה קורבן למתקפת סייבר אשר במהלכה דלפו נתונים ממערכות המחשוב שלה או הפכו בלתי נגישים. עוד נמסר כי החברה עושה מאמצים לנתח את אופי הנתונים שנפרצו. בשעה זו, אין בידי Encevo את כל המידע הדרוש על מנת ליידע אישית את מי שהאירוע נוגע לו. החברה הגישה תלונה במשטרה ויידעה את הרשויות ואת הוועדה הלאומית של לוקסמבורג להגנת מידע (CNPD) אודות המתקפה. עוד הדגישה Creos כי האירוע לא השפיע על אספקת החשמל והגז ללקוחותיה. בתוך כך, קבוצת התקיפה טענה כי ברשותה מידע בנפח 150GB, לרבות חוזים, הסכמים, פרטי דרכונים וחשבונות וכתובת מייל, ואיימה לפרסמו ב-1 באוגוסט. נכון לשעה זו, לא ידוע על הדלפת מידע השייך ל-Creos.

מפעילי הנוזקה LockBit 3.0 מצאו פרצה להורדת Cobalt Strike דרך פקודת החיפוש של Windows Defender תוך חמיקה ממערכות אבטחה 

LockBit 3.0, גרסתה החדשה של LockBit, פורסמה במהלך חודש יוני ומכונה גם LockBit Black (ראו ״הסייבר״, 28.7.22). במהלך הימים האחרונים זיהו אנליסטים של מיקרוסופט כי גורמים המקושרים לנוזקה מצאו פרצה בשורת החיפוש של Windows Defender, המאפשרת להם לפסוח על בקרות האבטחה ולהוריד את הנוזקה Cobalt Strike, המשמשת לסריקת רשת הקורבן ולהתרחבות בסביבת העבודה. פעולה זו מתאפשרת בשל חולשת Log4j במערכות VMware Horizon, שהתגלתה באפריל השנה, ואשר עלולה לאפשר לתוקפים להריץ על מחשב הקורבן פקודות זדוניות באמצעות ה-PowerShell, במטרה להוריד את Cobalt Strike. לאחר כניסה מוצלחת למחשב הקורבן, תוך ניצולה של Log4j, וקבלת ההרשאות הרלוונטיות, התוקפים מורידים שלושה קבצים: קובץ DLL וקובץ Log זדוניים (mpclient.dll, c0000015.log) וקובץ ״לגיטימי״ של מיקרוסופט, MpCmdRun.exe, אשר בעזרתו ניתן להריץ פקודות בשם ה-Microsoft Defender, לבצע סריקות למציאת נוזקות שונות, לאסוף ולאחסן מידע ועוד. עם הרצת הקובץ הזדוני mpclient.dll על גבי ה-MpCmdRun.exe באופן שבו הוא אינו מזוהה על ידי מערכת האבטחה של מיקרוסופט, הוא יביא להרצת הקובץ c0000015.log, המפעיל את Cobalt Strike. בתמונה להלן ניתן לראות את הורדת שורת הפקודה של Windows Defender להרצת הפקודה שמפעילה את הנוזקה.

צוות קונפידס ממליץ לבדוק את מעגלי האבטחה הארגוניים ולוודא היררכיה בין משתמשים עם הרשאות גבוהות.

(מקור: SentinelOne, 28.7.22)

ספרד: המועצה למחקר מדעי חוותה מתקפת כופרה

ב-2 באוגוסט המשרד הספרדי לחדשנות ומדע פרסם באתרו כי המועצה למחקר מדעי (CSIC), הפועלת תחתיו, חוותה מתקפת סייבר שזוהתה ב-18 ביולי. לפי הפרסום, צוות הניטור של המשרד הפעיל באופן מיידי את המרכז הקריפטולוגי הלאומי (CCN) על פי הפרוטוקול הרלוונטי. עוד נאמר כי המתקפה היתה דומה לזו שספגו מרכזי מחקר אחרים ברחבי העולם, בהם סוכנות החלל האמריקאית NASA ומכון מקס פלנק בגרמניה. מחקירת האירוע עולה חשד שמקור המתקפה ברוסיה, אך עד כה לא ידוע על דלף מידע רגיש או סודי כלשהו ממערכות המועצה, ונראה כי האמצעים שננקטו בהתאם לפרוטוקול הלאומי לשם בלימת התפשטות האירוע הביאו לפתרונו ולהפסקת הגישה לרשת במוקדים שונים. נכון לשעה זו, ליותר מרבע ממרכזי של ה-CSIC יש חיבור תקין לרשת, ובימים הקרובים צפויה הרשת במיקומים מרכזיים לשוב לפעילות.

המלחמה במזרח אירופה

 

ארגונים רוסים הותקפו על ידי נוזקת Woody RAT הממנפת את חולשת Follina; מאחורי המתקפות עומדת קבוצה סינית או צפון קוריאנית

צוות מודיעין הסייבר של חברת Malwarebytes זיהה את Woody RAT, נוזקת RAT מתקדמת בת יותר משנה, השייכת לגורם זדוני אנונימי שתוקף ישויות רוסיות על ידי פתיונות בפורמט ZIP, ולאחרונה גם באמצעות מסמכי Office, שממנפים את חולשת Follina, אשר זוהתה גם היא לאחרונה (ראו ״הסייבר״, 2.6.22). עוד זיהה צוות המחקר דומיין מזויף שנרשם על ידי קבוצת התקיפה ומעלה חשד שהיא ניסתה לתקוף את הישות הרוסית הידועה למחקר והגנת חלל OAK. את נוזקת ה-RAT שלה מפיצה קבוצת התקיפה באמצעות שרת מרוחק ממנו נמשך Template זדוני של מסמכי Office, שמפעיל את הנוזקה (WoodyNode.exe). לאחר מכן שני קובצי DLL נטענים אל הזיכרון (WoodySharpExecutor.dll ו-WoodyPowerSession.dll) במטרה לתקשר עם שרת ה-C2 של קבוצת התקיפה ולהריץ באמצעותם פקודות וסקריפטים של PowerShell ופקודות dotNET על העמדה הנתקפת. זאת ועוד, באמצעות נוזקת ה-RAT התוקפים יכולים להוריד ולהעלות קבצים מ/אל שרת ה-C2, לאסוף מידע על המערכת, להציג רשימת תיקיות, לבצע פעולות בקבצים ואף לעשות צילומי מסך. בעת הרצתה על העמדה הנתקפת, הנוזקה משתמשת בטכניקת Process Hollowing כדי להזריק את עצמה לתוך תהליך מושהה של Notepad. לאחר מכן היא מוחקת את עצמה מהדיסק כדי לחמוק מגילוי על ידי מוצרי אבטחה, ורק אז מסירה את השעיית תהליך ה-Notepad. עוד מתחמקת הנוזקה ממוצרים המזהים איומים על בסיס ניטור רשת, זאת באמצעות הצפנת תקשורת מול שרת ה-C2 בשילוב RSA-4096 ו-AES-CBC. צוות המחקר של Malwarebytes טרם ייחס את המתקפה ואת הנוזקה לקבוצת תקיפה מסוימת, אך הוא סבור כי הרשימה האפשרית קטנה, ומכילה כמה קבוצות APT סיניות וצפון קוריאניות.

סייבר בעולם

 
 

קבוצות האקרים המקושרת ל-FSB הרוסי מרגלת אחר תשתיות קריטיות בגרמניה

מזה מספר שנים מזהירות הרשויות הגרמניות מפני קבוצת האקרים המרגלת אחר רשת אספקת החשמל שלה. במהלך חקירה שנערכה בנושא, התגלה כי אחד החשודים בביצוע הפעולות קשור לשירות החשאי (FSB). לדברי רשויות השידור הגרמניות WDR ו-BR, במסגרת הפעילות נפרצו יותר מ-150 חברות בגרמניה, בעיקר בתחומי התשתיות הקריטיות, כאשר חקירה של משטרת מדינת באדן-וירטמברג העלתה שייתכן והחשוד שקושר לאירועים משתייך לקבוצת תקיפה של ה-FSB המכונה Dragonfly או Berserk Bear, אשר מנסה ליצור מצע לתקיפה שיאפשר לממשלת רוסיה למוטט את התשתיות הגרמניות, במידה ותרצה לעשות זאת.

כחלק מהפעולות הללו, בפריצה לחברת NetCom BW, המספקת שירותי ניתוב ופריסה של סיבים אופטיים, שהתרחשה ב-2017, האקרים חדרו לספק אינטרנט חיצוני והצליחו לגשת למערכות פנימיות של הארגון תוך ניצול חולשה בנתבי החברה. באירוע אחר שקושר ל-Berserk Bear פרצו התוקפים לחברת החשמל e.on באמצעות מתקפת דיוג ממוקד (Spear Phishing), שהתבססה על מסמך בן 35 עמודים שהתחזה למסמך פנימי של הארגון. עם פתיחתו על ידי הקורבנות התאפשר לתוקפים לגנוב את פרטי ההתחברות של המשתמשים שנשמרו על המחשב, כל זאת באמצעות תקשורת שהתבצעה ברקע והעבירה את הפרטים אל שרת שבבעלות התוקפים.

מאז פרוץ המלחמה בין רוסיה לאוקראינה, הרשויות בגרמניה מזהירות מפני מתקפות סייבר על רשת החשמל הארצית. בכנס שנערך בסוף יולי אמר סגן נשיא שירות הביון הפדרלי הגרמני וולפגנג וין כי "עלינו להיות מודעים לכך שרוסיה נמצאת ברשתות שלנו". לדברי גבי רונקון מחברת Mandiant, הצופה בשנים האחרונות בפעילותה של Berserk Bear, למרות החשש הגדול שהאקרים יבססו את אחיזתם ברשת לצמיתות, דבר שיאפשר להם לבצע מתקפה הרסנית ברגע המתאים מבחינתם, בשעה זו אין הוכחות לנוכחות הקבוצה ברשתות תעשייתיות, אלא רק בחברות קטנות.

מכיוון שבגרמניה חובת הדיווח על התרחשותו של אירוע סייבר חלה על חברות בעלות חשיבות קריטית בלבד, לא ברור לכמה רשתות הצליחה Berserk Bear לחדור, אך המשרד הפדרלי הגרמני להגנת החוקה (BfV) הצליח לזהות חלק מהפעילויות באמצעות ניטור תעבורת רשת זדונית של הקבוצה, מפני שהיא משתמשת בשרת הממוקם בגרמניה.

פעילותה של Berserk Bear מתאפיינת לא רק במתקפות פישינג, אלא גם בפריצות לאתרי אינטרנט המהווים נקודה אסטרטגית להסתננות אל רשתות של תשתיות קריטיות, באמצעות עריכת שינויים מינוריים באתרים לשם גניבת מידע רגיש, כדוגמת פרטי התחברות. 

ארה"ב מכריזה על סנקציות חדשות נגד רוסיה עקב התערבותה בתהליכי בחירות

בהודעה מטעם ממשל ביידן נאמר שהסנקציות החדשות הוטלו בשל "השפעתה העולמית המרושעת" של רוסיה והתערבותה בהליכים הדמוקרטיים של ארצות הברית. הסנקציות רלוונטיות לשני אנשים ולארבעה גופים, אשר מילאו תפקידים שונים בניסיונותיה של רוסיה להתערב בהליכי הבחירות בארצות הברית, והן מצטרפות למגוון הצעדים שנוקטות אמריקה ובעלות בריתה נגד הכלכלה והמערכת הפיננסית של רוסיה בתגובה לפלישתה לאוקראינה. עוד נכתב בהודעת הבית הלבן כי ארצות הברית תמשיך לפעול להרתעה ולשיבוש מאמצים מסוג זה כדי להגן על הדמוקרטיה שלה ולסייע בהגנה על הדמוקרטיות של בעלות בריתה ושותפיה.

ספרד: נעצרו שני עובדים לשעבר של המנהל הכללי למיגון אזרחי וחירום בחשד למעורבות במתקפה על רשת ההתרעה הרדיואקטיבית במדינה

בידיעה שפורסמה באתר החדשות של משטרת ספרד נאמר כי המעצרים הגיעו על רקע החבלה שנמצאה במערכת ההתרעה של המנהל (DGPCE), אשר השביתה באופן זמני יותר מ-300 חיישנים מתוך 800 המתריעים אודות רמות קרינה רדיואקטיביות מעבר לטווח התקין. החיישנים, אשר מזהים קרינת גמא, פרוסים ברחבי ספרד ומחוברים טלפונית למרכז הבקרה שבמטה ה-DGPCE, חיבור אשר באמצעותו מרכז הבקרה מקבל את נתוני המדידות, ובהתאם להם מעביר לחיישנים פקודות לביצוע. שני העובדים לשעבר, אשר נעצרו במסגרת ״מבצע GAMMA״, נמצאו קשורים למתקפת הסייבר שחוותה המערכת בין החודשים מרץ ליוני אשתקד, כאשר במהלך תחקור האירוע נמצא כי המתקפה כוונה לשני מרכיביה המרכזיים של רשת ההתרעה, באמצעות שתי פעולות: חדירה למערכת המחשוב של מרכז הבקרה לשם מחיקת אפליקציית האינטרנט המשמשת לניהול ההתרעות, וגרימת כשל בחיבור החיישנים למרכז הבקרה, להפחתת יכולת הזיהוי של רמות הקרינה הרדיואקטיבית על ידי הרשת. 

סטודנט צרפתי בן 21 נעצר בשדה תעופה במרוקו בחשד שביצע עבירות סייבר בנסיבות מחמירות נגד אזרחים אמריקאים 

סבסטיאן ראול, שנעצר ב-31 במאי בשדה התעופה של העיר רבאט, תוך שיתוף פעולה בין משטרת מרוקו ולשכת החקירות הפדרלית של ארצות הברית (FBI), מואשם בגניבת זהויות בנסיבות מחמירות, בהונאות ברשת ובניצול מחשביהם האישיים של יותר מ-200 מיליון איש. לדברי ה-FBI, ראול הינו חבר מרכזי בקבוצת ההאקרים ShinyHunters, אשר גונבת מידע מארגונים, מחברות ומאנשים פרטיים ומוכרת אותו בשוק האפור. לצורך פעילותה משתמשת הקבוצה באתר RaidForums, המהווה פלטפורמת מסחר אינטרנטית למאגרי מידע גנובים. על פי החוק האמריקאי, סבסטיאן צפוי לעונש של עד 116 שנות מאסר.

אזרח אוסטרלי בן 24 נאשם שיצר ומכר תוכנות ריגול לפדופילים ולעברייני אלימות במשפחה

על פי החשד, ג׳׳קוב וויין ג׳ון קין יצר, לכאורה, נוזקה להשתלטות מרחוק (RAT) המכונה Imminent Monitor כשהיה בן 15 בלבד, וכעת הוא מואשם בשש עבירות, בגינן יתייצב בקרוב למשפט. על פי כתב האישום, הוא מכר את התוכנה  לכ-14,500 לקוחות מ-128 מדינות בפורומים של קבוצות האקרים, כל זאת בין השנים 2013-1019, כשכבר היה בגיר. התוכנה, שנמכרה בסכום של 35 דולר, אפשרה למשתמשיה לגשת למצלמות רשת ולמיקרופונים של מערכות הקורבנות, ועל ידי כך לקבל גישה לפרטי בנק, לכתובות ולסיסמאות. ככל הנראה, הנוזקה כללה Keylogger.

מיקרוסופט מייחסת את נוזקת Raspberry Robin לקבוצת התקיפה הרוסית EvilCorp

בדוח של צוות מודיעין האיומים של Microsoft 365 Defender נחשף כי בסוף יולי האחרון גילו חוקרי מיקרוסופט שהנוזקה FakeUpdates מועברת באמצעות מערכות המושפעות מנוזקת Raspberry Robin (שהינה תולעת QNAP), הידועה בהתפשטותה ברשת הקורבן וככזו שמקורה בחיבור התקן USB נגוע, המכיל קובצי LNK זדוניים. FakeUpdates, המכונה על ידי מיקרוסופט DEV-0206, הינה צינור (Access Broker) שמציג במנוע החיפוש בדפדפן מודעות המפתות קורבנות להוריד עדכונים מזויפים לדפדפן. בפועל, ה״עדכונים״ מכילים קובץ ZIP ובו קובץ JavaScript זדוני, שמטרתו להשיג גישה לרשת הקורבן. לאחר שהקובץ מורד לעמדה, מסגרת ה-JavaScript (המכונה גם SocGholish) מתפקדת כ-Loader עבור קמפיינים של נוזקות אחרות, אשר עושות שימוש ב-Access Broker שנרכש מ-DEV-0206, לרבות במטענים של Cobalt Strike. במקרים רבים, מטענים אלה הובילו ל-Loaders מותאמים אישית אשר מיוחסים לקבוצת EvilCorp, אותה מכנה מיקרוסופט DEV-0243, ואשר דומים ל-Loaders פנימיים של נוזקות מסוג Blister. שיתוף פעולה זה הוביל לפריסת מטען הכופרה המותאם אישית WastedLocker ולמטעני כופרה נוספים. בנובמבר 2021, ככל הנראה על מנת לחמוק מהסנקציות שהטילה ממשלת ארצות הברית על מי שישלם דמי כופר ל-EvilCorp, החלה הקבוצה להפיץ את LockBit 2.0, מטען ״כופרה כשירות״ (Ransomware-as-a-Service או RaaS) אשר לא קושר אליה.

ה-CISA מוסיפה חולשה ל״קטלוג החולשות הידועות המנוצלות״ שלה 

הסוכנות האמריקאית לאבטחת סייבר ותשתיות הוסיפה לקטלוג שהיא מתחזקת חולשה (CVE-2022-26138) המצויה באפליקציית Questions For Confluence וגורמת לזהות בין כל שמות המשתמשים והסיסמאות בגרסאות המוצר הישנות - עד גרסה Questions for Confluence 2.7.x וגרסה Questions for Confluence 3.0.x. אי לכך, תוקף שאינו מאומת יכול להשתמש בנתונים אלה על מנת להיכנס ל-Confluence ולגשת לכל התוכן הנגיש למשתמשי המוצר. החולשה נוספה לקטלוג על סמך עדויות מבוססות לניצולה על ידי קבוצות תקיפה. על אף פי שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר. היעד שהציבה הסוכנות לסגירת החולשה הוא ה-19 באוגוסט.

צוות קונפידס ממליץ למשתמשי Questions For Confluence להטמיע במערכותיהם את עדכון האבטחה למוצר.

טייוואן: בעקבות ביקור פלוסי במדינה - מתקפת מניעת שירות על אתרים ממשלתיים

קווין קולינר, כתב סייבר ב-NBC News, פרסם בחשבון הטוויטר שלו את הצהרתו של דובר נשיאת טייוואן צאי אינג-וון, שהועלתה לפייסבוק, ולפיה אתר האינטרנט של הנשיאה נפל קורבן למתקפת מניעת שירות (DDoS), שפגעה גם באתרי משרד ההגנה ומשרד החוץ ושדה התעופה הגדול במדינה, Taiwan Taoyuan International. המתקפה, שמקורה טרם התברר, התרחשה מעט לפני הגעתה לטייוואן של יו"ר בית הנבחרים של ארצות הברית ננסי פלוסי. ביקור זה מעורר מחלוקת, לאחר שדובר משרד החוץ הסיני ז'או ליג'יאן אמר במסיבת עיתונאים כי ביקורה של פלוסי באי יהיה בגדר "התערבות בוטה בענייניה הפנימיים של סין", והזהיר כי הדבר יוביל ל"השלכות והתפתחויות חמורות מאוד". קולינר פנה לדובר שגרירות סין בוושינגטון לשם קבלת תגובה, אך בקשתו לא נענה.

סייבר בישראל

 

מערך הסייבר הלאומי: שרתי SysAid בישראל מהווים יעד לתקיפות 

ב-28 ביולי פרסם המערך התרעה מפני ניסיונות תקיפה של השרתים, המהווים פתרון בתחום ניהול התמיכה וה-IT. שלושה ימים לאחר מכן, ב-31 ביולי, הוציא המערך עדכון לפיו התקיפות מכוונות נגד שרתים המותקנים On-premise. על מנת להתגונן מפני התקיפה, המערך ממליץ למשתמשי השרת לעדכנו לגרסתו האחרונה, לוודא שאינו חשוף לאינטרנט, להגדיר סיסמה חזקה לממשק הניהול ולהפעיל אימות דו-שלבי (2FA). במידה והשרת חייב להיות בעל גישה לאינטרנט, מומלץ לבחון שימוש בהזדהות חזקה לכל משתמשיו. עוד מומלץ לוודא ששאר הרכיבים בשרת, כגון מערכת ההפעלה, מעודכנים אף הם לגרסאותיהם האחרונות, וכן לבדוק את הלוגים בשרת לאיתור פעילות חריגה במהלך השבועיים האחרונים ולבחון את האפשרות לשינוי כל סיסמאות המשתמשים. לבסוף, מומלץ להזין את מזהי התקיפה (IOCs) במערכות הניטור הארגוניות.

חשד למתקפת סייבר על אתרה של מכללת ספיר

סטודנטים במכללה שבדרום הארץ קיבלו בערב שישי ה-29 ביולי מסרונים בהם נטען כי המידע האישי שלהם מוחזק בידי האקר המכונה SANGKANCIL, שמקורו, ככל הנראה, במלזיה או באינדונזיה. מהמכללה, שפתחה בבדיקת האירוע על מנת להבין אם מדובר במתקפת סייבר, נמסר כי ״הפריצה לרשת המכללה בטיפול אגף המחשוב במכללה ומומחה מקצועי שהפעלנו להתמודדות עם האירוע, תוך שמירה על קשר רציף וליווי של מערך הסייבר הישראלי. עד כה, לא נמצאו עקבות לפריצה במערכות מידע רגישות או לחשבונות אישיים. מאגרי המידע במכללה עומדים בהנחיות תקנות ההגנה על הפרטיות״. לדברי המכללה, היא תמשיך לעקוב אחר ההתפתחויות ולעדכן את הסטודנטים במידת הצורך. בתמונות הבאות מופיעים המסרון שנשלח לסטודנטים והודעה החשבון האינסטגרם של התוקפים:

(מקור: אתר החדשות ״חמ״ל״, 29.7.22)                                          (מקור: 29.7.22, חשבון הטלגרם של SANGKANCIL)

אתרי נמלים בישראל ואתר האקדמיה לשוטרים חווים מתקפת מניעת שירות

קבוצת האקרים מבנגדלש המכונה Mysterious Team ואשר מבצעת תקיפות  מניעת שירות (DDoS) נגד יעדים שונים בעולם, תקפה בשבוע האחרון את אתר האקדמיה לשוטרים ואתרי הנמלים של ישראל. הקבוצה הפרו-פלסטינית דיווחה על התקיפה המוצלחת בקבוצת הטלגרם שלה, ביחד עם תמונות המעידות על אי-זמינות האתרים האמורים. בתקשורת הישראלית מדווח כי מדובר באי-זמינות של האתרים בלבד, וכי לא בוצעה כל פריצה למאגרי מידע של הארגונים.

סייבר ופרטיות - רגולציה ותקינה

 

הגנה על מידע פרטי במגזר הבריאות: מכון התקנים של ארה"ב מפרסם הנחיה חדשה להגנה על מידע רפואי ובריאותי; הרשות להגנת הפרטיות בישראל מפרסמת את ממצאי הפיקוח על 40 חברות סיעוד

שתי התפתחויות בתחום הגנת המידע האישי בעל מרכיבים רפואיים ובריאותיים מצביעות על הסיכונים ההולכים וגוברים להגנה על מידע מסוג זה מפני איומי סייבר. ההתפתחות הראשונה היא פרסומה של טיוטה מעודכנת על ידי המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית (NIST) בדבר הנחיה ליישום הרגולציה הלאומית בתחום הבריאות, ה-Health Insurance Portability and Accountability Act of 1996, המכונה HIPPA. הנחיית ה-NIST מתייחסת להיבטים שונים של יישום ה-HIPPA בארגונים, במטרה לקדם שמירה על סודיות, שלמות וזמינות מידע בריאותי ורפואי דיגיטלי, לרבות מידע אישי של מטופלים, מרשמים, תוצאות בדיקות מעבדה, חיסונים, תיעוד ביקורים במוסדות רפואיים ועוד. למרות שהנחיית ה-NIST אינה מחייבת ארגונים באופן ישיר, היא בעלת חשיבות לקביעת בסיס עבור ארגונים בתחום הבריאות שמעוניינים לקדם את רמת הגנת הסייבר שלהם. ההתפתחות השנייה בתחום היא פרסומו של דוח פיקוח על חברות סיעוד הפועלות בישראל על ידי הרשות להגנת הפרטיות, שערכה פיקוח רוחב בקרב 40 חברות המספקות שירותי סיעוד, ומחזיקות מידע אישי של מאות אלפי מטופלים (ועובדים), לרבות מידע בריאותי רגיש. הממונה על פיקוח הרוחב ברשות, עו"ד רביד פטל, אמר כי "כשמדובר בפיקוח על חברות המטפלות באוכלוסייה במצב סיעודי, הרשות רואה לנגד עיניה את פערי הכוחות והאתגרים של אוכלוסייה זו בעמידה על זכויותיה, ובהתאם פועלת בתוקף כדי להבטיח מימוש והגנה על פרטיותם". בטבלה להלן מרוכזים ממצאיו של דוח הפיקוח.

(מקור: דו"ח ממצאי פיקוח רוחב בקרב מגזר חברות הסיעוד, יולי 2022, עמ' 8)

דוח חדש מודד רגולציה ממשלתית למשילות דיגיטלית: בריטניה, גרמניה, אוסטרליה, ניו זילנד וצרפת נוקטות בגישה המקיפה ביותר - ישראל במקום ה-24

המדד של ה-Digital Trade and Governance Hub בוחן 26 קריטריונים ב-6 תחומי רגולציה במרחב הדיגיטלי: (א) אסטרטגיה ממשלתית לטיפול רגולטורי בסוגי מידע שונים. (ב) רגולציה ליישום אסטרטגיה זאת. (ג) התייחסות ברמה הממשלתית להיבטי אתיקה וזכויות אדם בשימוש בסוגים שונים של מידע. (ד) התאמת המבנה הממשלתי והגופים שבו לצרכי משילות דיגיטלית. (ה) שיתוף הציבור במהלכים הרגולטוריים. (ו) שיתוף פעולה בינלאומי בנושא. הדוח מצא כי 5 המדינות המובילות ב-6 תחומי הרגולציה הן אוסטרליה, בריטניה, גרמניה, ניו זילנד וצרפת, אותן מדינות שהובילו גם במהדורה הקודמת של הדוח, שהסתמך על נתונים מ-2020. לישראל, הנמצאת במקום ה-24 מתוך 95 מדינות, דירוג גבוה יחסית בתחום התאמת המבנה הממשלתי והגופים שבו לצרכי משילות דיגיטלית. בטבלה להלן מופיעים הכלים הרגולטוריים הנפוצים ביותר בקרב המדינות שנסקרו, ורמת האימוץ של הכלים על ידי מדינות אלה. 

    (מקור: Global Data Governance Mapping Project, Year Two Report, עמ' 21)

ארה״ב: מחלקת המדינה מציעה עד 10 מיליון דולר למי שיספק טיפים שיסייעו בחקירת ושיבוש פעולות הסייבר של קוריאה הצפונית

מחלקת המדינה של ארצות הברית הכריזה בעמוד הטוויטר הרשמי שלה על הגדלת הפרס הכספי המוצע למי שימסור מידע על תוקפים המקושרים לקבוצות תוקפי סייבר הפועלות בחסות ממשלת קוריאה הצפונית, בעיקר Andariel, APT38, Bluenoroff, Guardians of Peace, Kimsuky, ו-Lazarus, וכן ״כל קבוצה שמעורבת באיום על תשתית קריטית של ארצות הברית, תוך הפרה של חוק ההונאה וניצול מחשבים״. פרסום זה מגיע לאחר שבאפריל 2020 מחלקת המדינה הציעה פרס של עד 5 מיליון דולר עבור מידע על התערבות זרה בבחירות בארצות הברית, ובמאי 2022 העלתה את גובה הפרס המקסימלי ל- 10 מיליון דולר.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.