WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 10.11.2022

עיקרי הדברים

  1. ישראל: חמ״ל הסייבר של קונפידס בלם תקיפה צפון קוריאנית - פרטים חדשים בדוח המצורף; תוכנת ריגול זוהתה בשרתי האוניברסיטה העברית בירושלים; חוקר סייבר הצליח לפרוץ לתשתית פישינג המתחזה ל״דואר ישראל״. 

  2. הצלב האדום מקדם סמל דיגיטלי שיסייע בהגנה על מערכות רפואיות דיגיטליות בשעת לחימה.

  3. Jeppesen, חברת בת של ענקית התעופה בואינג, חווה מתקפת כופרה - נרשמו שיבושים בטיסות; מתקפת סייבר משביתה את מצפה הכוכבים הגדול בעולם; הרכבת הדנית הושבתה בעקבות מתקפת סייבר על אחד מספקיה; אוסטרליה: חברת ביטוח הבריאות הפרטי Medibank מאוימת בפרסום נתונים של 9.7 מיליון ממשתמשיה לאחר שסירבה לשלם כופר. 

  4. כיסוי ביטוחי לנזקי מתקפות כופרה: חברת Mondelez הגיעה לפשרה עם Zurich על תשלום נזקי מתקפת  NotPetya, שהתרחשה ב-2017. 

  5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי מיקרוסופט (Zero-day); ראוטרים של D-Link (קריטי);  המוצר VMware Workspace ONE Assist (קריטי); מוצרי Citrix (קריטי);  הדפדפן Google Chrome (גבוה); המוצר IoT Field Network Director של Cisco (גבוה);  המערכת Splunk (גבוה).

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני האבטחה הרבעוניים של Splunk נותנים מענה ל-12 חולשות, 10 מהן ברמת חומרה גבוהה
חולשה קריטית בראוטר של חברת D-Link מאפשרת הרצת קוד מרחוק; טרם פורסם עדכון הנותן לה מענה
עדכון אבטחה לדפדפן Google Chrome נותן מענה ל-10 חולשות, 5 מהן ברמת חומרה גבוהה
עדכון אבטחה ל-VMware Workspace ONE Assist נותן מענה ל-5 חולשות, 3 מהן קריטיות
עדכון אבטחה של Citrix למערכות Citrix ADC ו-Citrix Gateway נותן מענה ל-3 חולשות, אחת מהן קריטית
עדכוני האבטחה של מיקרוסופט לחודש נובמבר נותנים מענה ל-68 חולשות, בהן 6 חולשות Zero-day וחולשות ProxyNotShell
עדכון אבטחה של Cisco למוצר IoT Field Network Director נותן מענה לחולשות ברמת חומרה גבוה

התקפות ואיומים

גל נוזקות שוטף את המרחב האינטרנטי
חברת Phylum זיהתה עשרות חבילות PyPi זדוניות שמפיצות W4SP Stealer
מיקרוסופט מכריזה על שנת 2022 כעידן חדש של לוחמה היברידית; ארגונים ישראליים נמנים כעת על היעדים המטורגטים ביותר על ידי APTs
הנוזקה Amadey נצפתה מפיצה את LockBit 3.0
תוסף זדוני מאפשר לתוקפים לשלוט מרחוק בדפדפן Google Chrome
הנוזקה החדשה StrelaStealer גונבת חשבונות Outlook ו- Thunderbird

השבוע בכופרה

LockBit מאיימת לפרסם נתונים שלטענתה גנבה במהלך תקיפת יצרנית חלקי הרכבים Continental
חבר כנופיית LockBit נעצר בקנדה
נוזקת Azov מופצת ברחבי העולם ומשמשת כ-Wiper
אוסטרליה: חברת ביטוח הבריאות הפרטי Medibank מאוימת בפרסום נתונים של 9.7 מיליון ממשתמשיה לאחר שסירבה לשלם כופר
מסתמן: Jeppesen, חברת בת של ענקית התעופה בואינג, חווה מתקפת כופרה; נרשמו שיבושים בטיסות

המלחמה במזרח אירופה

קבוצת התקיפה RomCom נצפתה מנצלת את KeePass ו-SolarWinds לתקיפת מטרות אוקראיניות ודוברות אנגלי

סייבר בעולם

קמפיין פישינג חדש מתמקד בחשבונות טוויטר מאומתים
צ׳ילה: מצפה הכוכבים הגדול בעולם ALMA הושבת עקב מתקפת סייבר
הרכבת הדנית מושבתת עקב מתקפת סייבר על קבלן משנה
קבוצת התקיפה Crimson Kingsnake מתחזה למשרדי עורכי דין ושירותי שחזור חובות לשם הונאת ארגונים ברחבי העולם
Group-IB מנתחת את OPERA1ER, קבוצת APT הפועלת באפריקה מזה שנים מתחת לרדאר
קבוצת התקיפה APT-36 ממנפת טכניקות, תהליכים וכלים חדשים נגד גופים ממשלתיים בהודו
המרכז הלאומי הבריטי להגנת סייבר החל בפרויקט של סריקת כלל האינטרנט הנגיש בבריטניה
אפליקציית VPN זדונית מכוונת נגד אנשי דת דוברי פרסית ובהאית
פלטפורמת ה״פישינג כשירות״ Robin Banks מחדשת את פעילותה עם פרודוקטיביות משודרגת הכוללת מעקף אימות דו-שלבי
חיפשתם פתרון לתקלת WordPress במנועי חיפוש? ייתכן שנפלתם קורבן לקמפיין תקיפה חד

סייבר בישראל

תוכנת ריגול זוהתה בשרתי האוניברסיטה העברית בירושלים
חברת קונפידס זיהתה ובלמה מתקפה צפון קוריאנית על חברת קריפטו ישראלית
חוקר אבטחת מידע ישראלי חשף קמפיין פישינג שהתחזה ל״דואר ישראל

סייבר ופרטיות - רגולציה ותקינה

כיסוי נזקי מתקפות כופרה: חברת Mondelez הגיעה לפשרה עם Zurich על תשלום נזקי NotPetya
הצלב האדום מקדם סמל דיגיטלי שיסייע בהגנה על מערכות רפואיות דיגיטליות בשעת לחימה
הרשות להגנת הפרטיות פרסמה טיוטת המלצות להגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעות מכשירים
חוק הגנת פרטיות המידע הראשון באינדונזיה: המדינה הרביעית בגודלה בעולם מקדמת את ההגנה על המידע של תושבי

כנסים

 
 

הציטוט השבועי

״המצב הגיאו-פוליטי, במיוחד בעקבות הפלישה הרוסית לאוקראינה, הוא משנה משחק בתחום הסייבר העולמי. אנו עדיין רואים עלייה במספר האיומים, ואף מגוון רחב יותר של וקטורי תקיפה, כמו ניצול של Zero-day ודיסאינפורמציה הנתמכת בבינה מלאכותית ו-Deepfake. כתוצאה מכך, ישנה עלייה במספר מתקפות הסייבר, והן בעלות השפעה מזיקה יותר.״ 

דוח הסוכנות להגנת סייבר של האיחוד האירופי (ENISA) לשנת 2022.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני האבטחה הרבעוניים של Splunk נותנים מענה ל-12 חולשות, 10 מהן ברמת חומרה גבוהה

4 מתוך החולשות שנסגרות בעדכון קיבלו את ציון החומרה CVSS 8.8, שתיים מהן עלולות לאפשר לתוקף להריץ קוד מרחוק (CVE-2022-43571; CVE-2022-43567), אחת מהן (CVE-2022-43570) עלולה לאפשר לתוקף להזריק XXE והרביעית (CVE-2022-43568) עלולה לאפשר לתוקף לבצע Reflected XSS. העדכונים רלוונטיים למוצרים הבאים:

Splunk Enterprise - לעדכן לגרסאות 8.1.12, 8.2.9 ו-9.0.2. 

Splunk Cloud Platform - יש לעדכן לגרסאות  9.0.2209, 9.0.2205, 9.0.2211, 9.0.2208 ו-9.0.2203.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות. רשימת העדכונים המלאה מצויה כאן.

חולשה קריטית בראוטר של חברת D-Link מאפשרת הרצת קוד מרחוק; טרם פורסם עדכון הנותן לה מענה

החולשה (CVE-2022-43184, CVSS 9.8), עליה דיווח חוקר אבטחה חיצוני בשם HuangPayoung, מצויה בראוטר הפופולרי DIR-878 של חברת D-Link הטאיוואנית, ומקורה בתקלה ברכיב bin/proc.cgi/, האחראי על קבלת קלט מהמשתמש דרך ממשק הראוטר בדפדפן. מכיוון שהרכיב קולט את הקלט ומאחסנו בזיכרון ללא בדיקה מתאימה של תוכנו, ולאחר מכן הרכיב lib/librcm.so/ שולף את תוכן הקלט מהזיכרון ומריץ אותו ללא בדיקה, הדבר עלול לאפשר הרצת קוד זדוני.

צוות קונפידס ממליץ להימנע משימוש בדגם הראוטר האמור עד לפרסום עדכון מתאים מטעם D-Link. 

עדכון אבטחה לדפדפן Google Chrome נותן מענה ל-10 חולשות, 5 מהן ברמת חומרה גבוהה

החולשות נסגרות בגרסה 107.0.5304.105 של הדפדפן עבור Android, בגרסה 107.0.5304.110 עבור Mac ו-Linux ובגרסה 107./107.0.5304.106 עבור Windows, החמורות שבהן הן:

חולשה מסוג Use-After-Free ברכיבים הבאים:
V8 - CVE-2022-3885
Speech Recognition - CVE-2022-3886
Web Workers - CVE-2022-3887
WebCodecs - CVE-2022-3888
חולשה (CVE-2022-3889) מסוג Type Confusion ב-V8

חולשה (CVE-2022-3890) מסוג Heap buffer overflow ב-Crashpad.

החולשות רלוונטיות לכל גרסאות Chrome הקודמות לאלה החדשות.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.

עדכון אבטחה ל-VMware Workspace ONE Assist נותן מענה ל-5 חולשות, 3 מהן קריטיות

המוצר  מאפשר למנהלי רשת גישה מרחוק למכשיר ופתרון בעיות בזמן אמת, תוך שמירה על פרטיות המשתמש. שתי החולשות האחרות שנסגרות בעדכון הן ברמת חומרה בינונית. 3 החולשות הקריטיות (CVE-2022-31685 ,CVE-2022-31686 ו-CVE-2022-31687) קיבלו את ציון החומרה CVSS 9.8, ועלולות לאפשר לתוקף בעל גישה לרשת המוצר להשיג אליו הרשאות אדמין ללא צורך באימות מצד האפליקציה. חולשה נוספת (CVE-2022-31688, CVSS 6.4) שנסגרה נעוצה בכתיבה שגויה של המשתמש ועלולה לאפשר לתוקף להזריק קוד JavaScript, ואילו החולשה האחרונה (CVE-2022-31689, CVSS 4.2) שנסגרה בעדכון עלולה לאפשר לתוקף שהשיג Token מהימן להשתמש בו לכניסה לאפליקציה.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם האפשרי לגרסתו האחרונה - 22.10.

עדכון אבטחה של Citrix למערכות Citrix ADC ו-Citrix Gateway נותן מענה ל-3 חולשות, אחת מהן קריטית

שלוש החולשות שנסגרו במוצרים הן:

CVE-2022-27510, CVSS 9.8 - חולשה קריטית העלולה לאפשר גישה בלתי מורשית להרשאות משתמשים.

CVE-2022-27513, CVSS 8.3 - חולשה ברמת חומרה גבוהה, העלולה לאפשר גניבת סשן משולחן עבודה מרוחק באמצעות פישינג.

CVE-2022-27516, CVSS 5.3 - חולשה ברמת חומרה בינונית, העלולה לאפשר עקיפה של מנגנון ההגנה מפני מתקפות המתבססות על ניחוש סיסמאות בממשק ההתחברות.

ניצול החולשות תחת הגדרות מסוימות עלול לאפשר לתוקף להשיג גישה בלתי מורשית אל המכשיר, לבצע RDP Takeover או לעקוף את הגנת ה-Brute force בממשק ה-Login.

 צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות, כפי שמופיע כאן.

עדכוני האבטחה של מיקרוסופט לחודש נובמבר נותנים מענה ל-68 חולשות, בהן 6 חולשות Zero-day וחולשות ProxyNotShell

החולשות, ש-10 מהן הן קריטיות, רלוונטיות למערכות המפורטות כאן, ועלולות לאפשר העלאת הרשאות, עקיפת מנגנוני אבטחה, הרצת קוד מרחוק (20 חולשות שונות), דלף מידע, מניעת שירות (DoS) והתחזות (Spoofing). לדברי מיקרוסופט, 6 חולשות ה-Zero-day הבאות נצפו מנוצלות על ידי גורמים זדוניים:

CVE-2022-41128 - הרצת קוד מרחוק ב-Windows Scripting Languages.

CVE-2022-41091 - עקיפת מנגנון הגנה הנוגע לקבצים שהורדו מהאינטרנט (ראו ״הסייבר״, 3.11.22).

CVE-2022-41073 - העלאת הרשאות ב-Windows Print Spooler.

CVE-2022-41125 - העלאת הרשאות ב-Windows CNG Key Isolation Service.

CVE-2022-41040 - העלאת הרשאות בשרת Microsoft Exchange.

CVE-2022-41082 - הרצת קוד מרחוק על שרת Microsoft Exchange.

CVE-2022-41040 ו-CVE-2022-41082 - חולשות המכונות ביחד ProxyNotShell, אשר התגלו בספטמבר האחרון על ידי חברת אבטחת המידע הווייטנאמית GTSC וקיבלו מענה בעדכוני האבטחה לשרת Microsoft Exchange בגרסאות 2013, 2016 ו-2019.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם על פי הוראות היצרן.

עדכון אבטחה של Cisco למוצר IoT Field Network Director נותן מענה לחולשות ברמת חומרה גבוהה

בעקבות גילוי החולשה (CVE-2022-3602, CVSS 7.5) ב-OpenSSL (ראו ״הסייבר״, 3.11.22), חברת Cisco בדקה ומצאה כי היא משפיעה על אחד ממוצריה, IoT Field Network Director. העדכון שפרסמה החברה סוגר את במוצר את החולשה, ובכך מונע השבתה של המערכת או הרצת פקודות עליה.

צוות קונפידס ממליץ למשתמשי IoT Field Network Director לעדכנו לאחת מהגרסאות הבאות: 4.8.1/4.9.0/5.0.0.

התקפות ואיומים

גל נוזקות שוטף את המרחב האינטרנטי 

במהלך השבועיים האחרונים נצפה קמפיין שמטרתו להפיץ את הנוזקה SmokeLoader באמצעות קובצי Word ו-PDF. בעת פתיחת הקובץ, הנוזקה מורידה 3 נוזקות נוספות, SystemBC ,RecordBreaker ו-Laplas Clipper, המשתלטות על מכשיר הקורבן, גונבות ממנו מידע רגיש ומשנות את כתובת ארנק הקריפטו שלו לכתובת התוקף, כך שכסף שיישלח אל ארנק הקורבן יגיע בפועל לארנקו של הגורם הזדוני. להלן תיאור הנוזקות:

SystemBC - מאפשרת להריץ מרחוק פקודות על מכשיר הקורבן ולגנוב את שמות המשתמשים שבמערכות המושפעות.

RecordBreaker - משמשת לגניבת נתוני מערכת, אישורי דפדפנים, כרטיסי אשראי, ארנקי קריפטו, מיילים ועוד.

Laplas Clipper - כאשר הקורבן מעתיק את כתובת ארנק הקריפטו שלו על מנת להדביקה בעת ביצוע עסקה, הנוזקה מזהה זאת ומחליפה הכתובת בזו של התוקף.

SmokeLoader - נוזקה ״נושמת״ המתחדשת מעת לעת על ידי מפתחיה ומאפשרת שימוש ורסטילי על גבי מחשבים נגועים. במידת הצורך, SmokeLoader מאפשרת הורדת נוזקות נוספות, מעבר לשלוש שתוארו לעיל.

צוות קונפידס ממליץ לנהוג בחשדנות כלפי קבצים וקישורים שאינם מוכרים המתקבלים בתיבת המייל. למשתמשים בארנקים דיגיטליים, אנו ממליצים לאמת כתובות ארנקים בטרם ביצוע העברות כספים. 

חברת Phylum זיהתה עשרות חבילות PyPi זדוניות שמפיצות W4SP Stealer

בשבוע שעבר התריעו מערכות הסריקה האוטומטית של Phylum על פעילות חשודה בעשרות חבילות PyPi חדשות שפורסמו. ככל הנראה, החבילות הן חלק מניסיון מתוחכם להעברת נוזקה מסוג Infostealer המכונה W4SP Stealer למכונות של מפתחי Python, על ידי הסתרת __import__ זדוני. בדוח שפרסמה כעת Phylum היא מנתחת את הטקטיקות החדשות בהן משתמש התוקף לפריסת W4SP בהתקפת שרשרת אספקה זו. בדומה לניסיונות הקודמים שביצע, גם התקפה זו מתחילה בהעתקת ספריות פופולריות והזרקת הצהרת __import__ זדונית לבסיס הקוד הקיים. נראה כי המתקפה הנוכחית החלה סמוך ל-12 באוקטובר, עם הפצת החבילות הראשונות, אשר הכילו את המזהים שחולצו מהחבילות האחרונות שנותחו. מאז, התקפה רק הולכת וצוברת תאוצה. רשימת החבילות הזדוניות המלאה מצויה בפרסום של Phylum, כאשר בבדיקה שערך עליהן צוות המחקר של החברה נמצא שעד למועד פרסום הדוח הן הורדו יותר מ-5,700 פעמים. במרבית המקרים הורדת החבילות הזדוניות התבססה על ניצול שגיאות הקלדה בניסיון להוריד חבילות תקינות. כך למשל, החבילה הזדונית twyne התחזתה לחבילה הלגיטימית twine.

צוות קונפידס ממליץ למפתחי Python ולמשתמשי השפה בכלל לעמוד על מהימנותן של ספריות ה-Python בהן הם משתמשים ולוודא שניתן לעבור על קוד המקור ב-GitHub.


מיקרוסופט מכריזה על שנת 2022 כעידן חדש של לוחמה היברידית; ארגונים ישראליים נמנים כעת על היעדים המטורגטים ביותר על ידי APTs

בדוח בן 114 עמודים, שכותרתו Microsoft Digital Defense Report 2022, מציגה החברה מחקר מקיף ומצהירה כי הפעלת נשקי סייבר במלחמה ההיברידית באוקראינה היא שחר של עידן חדש של סכסוכים. הדוח המפורט כולל לקחים ותובנות בנוגע לאיומים בעולם הדיגיטלי ומידע על התפתחויות בתחום ופעולות שניתן ליישם על מנת לשפר את אבטחת האקוסיסטם. בתוך כך, החברה מזהירה מפני עלייתם של גורמים - מדינתיים ופליליים כאחד - המנצלים חולשות Zero-day, תוך פרק זמן ממוצע של 14 יום מרגע חשיפתן, ומפגינים דרכי תקיפה וחמיקה מזיהוי שהולכות ומשתכללות. עוד מציינת מיקרוסופט את העלייה באגרסיביות של המתקפות ואת העובדה שבשנה האחרונה היקף המתקפות נגד תשתיות קריטיות עלה מ-20% ל-40% מכלל מתקפות ה-APT. עלייה זו מיוחסת על ידי החברה למלחמה במזרח אירופה, שעודדה מדינות אוטוריטריות אחרות להסלים את מתקפותיהן לכדי פעולות נועזות ומתוחכמות יותר, לקידום האסטרטגיות שלהן. לדברי מיקרוסופט, מדינות משתמשות בתעמולה לשם הנדסת תודעת ההמונים, כדוגמת ניסיונה של רוסיה לתת לגיטימציה למלחמה המתחוללת באוקראינה. 
 

נושאים נוספים הנידונים בדוח הם עליית היקף המתקפות נגד תשתיות IT של ארגונים וניצול התקני OT/IoT להשגת דריסת רגל ראשונית בארגונים ושיבוש פעילותם, וכן העלייה במספרן של קבוצות התקיפה האיראניות ובהיקף השימוש שהן עושות בנוזקות, ובעיקר בכופרות. הדוח של מיקרוסופט מזכיר גם את העובדה שממשלת איראן מבצעת מתקפות קשות, לרבות מתקפות שרשרת אספקה ומתקפות על תשתיות, נגד ארגונים פרטיים וממשלתיים בישראל, תחת מעטה של ״האקטיביזם״. לדברי החברה, ארגונים ישראליים נמנים כעת על היעדים המטורגטים ביותר על ידי APTs, ביחד עם ארצות הברית, בריטניה, קנדה, גרמניה ומדינות נוספות, (על פי נתוני ה-NSN של מיקרוסופט), כאשר 22% מהתקיפות האיראניות על תשתיות (קריטיות ולא-קריטיות) מכוונות נגד ישראל, הניצבת במקום השני אחרי ארצות הברית (25% מהתקיפות) כיעד איראני.

על רקע התפתחויות אלה, החברה קוראת לקדם בדחיפות מסגרת עולמית להגנה על זכויות אדם, ומעודדת את כלל המדינות לעבוד ביחד ליישום נורמות וכללי התנהגות אחראיים במרחב הדיגיטלי. לדבריה, לכל הממשלות יש אחריות להגן על המערכות הדיגיטליות, המהוות חלק מרכזי במרקם החברתי. תקציר הדוח מצוי כאן.

 

 

 

(מקור: Microsoft Digital Defense Report 2022)

 


הנוזקה Amadey נצפתה מפיצה את LockBit 3.0 

לדברי חוקרי אבטחה מ-AhnLab. הבוט Amadey הינו נוזקה בה נעשה שימוש להתקנת LockBit 3.0, ולהפצתה בשתי דרכים עיקריות: מסמך Word זדוני וקובץ הרצה המוסווה על ידי אייקון של מסמך Word. הנוזקה Amadey, שהתגלתה ב-2018, מספקת ״שירות פושע לפושע״ לגניבת מידע, ולדברי חוקרים מ-BlackBerry היא מוצעת למכירה עבור כ-600 דולר. מלבד גניבת מידע ממחשבים נגועים, הנוזקה אף משמשת ככלי להעברת קבצים לשם המשך המתקפה, ובחודש יולי השנה נצפתה מפיצה את נוזקת SmokeLoader. זאת ועוד, באוקטובר האחרון מצאו חוקרים מ-AhnLab ש-Amadey מופצת כשהיא מוסווית כאפליקציית המסרים KakaoTalk, הפופולרית בקוריאה הדרומית. מחקרה האחרון של AhnLab בנושא מתבסס על מסמך Word בשם 심시아.docx שהועלה ל-VirusTotal ב-28 באוקטובר השנה וכלל מאקרו VBA שבעת הפעלתו מריץ פקודת PowerShell להורדה והפעלה של Amadey. עוד נצפו מקרים בהם הנוזקה מוסווית כקובץ עם אייקון של מסמך Word, כשבפועל מדובר בקובץ הרצה בשם Resume.exe. עם הפעלתה של Amadey, הנוזקה מורידה ומריצה פקודות נוספות משרת מרוחק, לרבות הורדה וההתקנה של LockBit באמצעות PowerShell או קובץ הרצה (exe.). הכופרה LockBit 3.0, הידועה גם בשם LockBit Black, הושקה ביוני השנה ביחד עם פורטל רשת חדש של קבוצת התקיפה, המציע לראשונה פרסים בסך עד מיליון דולר בעבור מציאת באגים באתר או בכופרה (ראו ״הסייבר״, 30.6.22).

תוסף זדוני מאפשר לתוקפים לשלוט מרחוק בדפדפן Google Chrome 

מחקר חדש של Zimperium חושף תוסף זדוני שלא רק גונב את המידע אליו מתאפשרת לו גישה דרך גלישה רגילה בדפדפן, אלא אף מתקין נוזקה על עמדות ועלול להשיג שליטה כמעט מלאה על מכשיר הקורבן. התוסף, לו נתן יוצר הנוזקה את השם Cloud9, לא נמצא מעולם באף חנות רשמית של תוספי דפדפנים, ונראה כי דרך ההפצה העיקרית שלו הינה התקנתו באמצעות קבצי EXE מזויפים ואתרים זדוניים שמתחזים לכאלה הכוללים עדכונים ל-Adobe Flash Player. התנהגותו של התוסף זהה לזו של (RAT (Remote Access Tool, והוא מופיע בשני וריאנטים שאיתרו החוקרים, האחד מקורי והאחר מאולתר, ולו יכולות נוספות ובאגים מתוקנים. הווריאנטים מדגימים את האופן בו תוקפים מחפשים תמיד אחר דרכים לשיפור היכולות שבארסנל הכלים שלהם. המחקר של חברת Zimperium התמקד בעיקר בגרסה המשופרת של התוסף הזדוני, וזיהה בו את היכולות הבאות: שליחת בקשות HTTP, גניבת קבצי עוגיות, גניבת הקשות מקלדת (Keylogging), מתקפות בשכבת האפליקציה (4-7) לביצוע מניעת שירות (DoS), זיהוי סוג הדפדפן ומערכת ההפעלה, פתיחת Pop-ups להזרקת פרסומות, הרצת JavaScript ממקורות מרוחקים, טעינת דפי אינטרנט בצורה שקטה, כריית מטבעות קריפטוגרפיים ושליחת Exploits לניצול חולשות בדפדפן. הניתוח המלא מצוי כאן.

צוות קונפידס ממליץ להימנע מלחיצה על קישורים שאינם מוכרים ומהתקנת תוכנות ״פרוצות״ ותוספים ממקורות שאינם רשמיים.

הנוזקה החדשה StrelaStealer גונבת חשבונות Outlook ו- Thunderbird 

התוכנה הזדונית, שהתגלתה על ידי אנליסטים מ-DCSO CyTec, משמשת לגניבת מידע וגונבת באופן פעיל אישורים של חשבונות מייל של שתי הספקיות הפופולריות. StrelaStealer מופצת למערכות הקורבנות באמצעות קובצי ISO בעלי תוכן משתנה, המצורפים למיילים. באחת הדוגמאות שנצפו, ה-ISO המצורף הכיל את קובץ ההפעלה msinfo32.exe, הטוען בצד את הנוזקה המצורפת באמצעות DLL order hijacking. במקרה אחר ומעניין יותר, ה-ISO הכיל קובץ LNK בשם Factura.lnk וקובץ HTML בשם x.html, כאשר האחרון הינו קובץ polyglot שניתן להתייחס אליו כאל פורמטים שונים של קבצים, בהתאם לאפליקציה שבאמצעותה הוא נפתח. במקרה האמור, x.html הינו גם קובץ HTML וגם תוכנת DLL, שביכולתה לטעון את הנוזקה StrelaStealer או להציג מסמך הטעייה בדפדפן ברירת המחדל במערכת. עם הרצת הקובץ Fractura.lnk, הוא מפעיל את x.html פעמיים - תחילה באמצעות rundll32.exe כדי להריץ את ה-DLL המוטבע ב-StrelaStealer, ואז כ-HTML, לטעינת מסמך ההטעיה בדפדפן. לאחר טעינת הנוזקה בזיכרון, דפדפן ברירת המחדל נפתח, על מנת להציג את עמוד ההטעיה ולנסוך אמינות במתקפה. בשלב הבא, StrelaStealer מבצעת בספרייה \APPDATA%\Thunderbird\Profiles% חיפוש אחר logins.json (חשבון וסיסמה) ו-key4.db (בסיס הנתונים של סיסמאות), ושולחת את תוכנם לשרת C2.

עבור Outlook, הנוזקה קוראת את ה-Registry של Windows כדי לאחזר את מפתח התוכנה, ולאחר מכן מאתרת את הערכים ״משתמש IMAP״, ״שרת IMAP״ ו״סיסמת IMAP״. סיסמת ה-IMAP מכילה את סיסמת המשתמש בצורה מוצפנת, כך שהנוזקה משתמשת בפונקציה Windows CryptUnprotectData לשם פיענוחה, לפני שהיא מועברת ל-C2 ביחד עם השרת ופרטי המשתמש. לבסוף, StrelaStealer מוודאת ששרת ה-C2 קיבל את הנתונים באמצעות בדיקת תגובה ספציפית, ואם כן - היא מתנתקת ממערכת הקורבן. אם השרת לא קיבל את הנתונים, הנוזקה נכנסת למצב שינה למשך שנייה אחת, ואז חוזרת על התהליך בניסיון נוסף לגנוב את הנתונים. 

צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את מזהי תקיפה (IOCs) המופיעים במחקר המלא.

השבוע בכופרה

LockBit מאיימת לפרסם נתונים שלטענתה גנבה במהלך תקיפת יצרנית חלקי הרכבים Continental

קבוצת התקיפה LockBit נטלה אחריות על מתקפת סייבר נגד החברה הגרמנית, המעסיקה יותר מ-190,000 עובדים ב-58 מדינות ושווקים. הקבוצה מאיימת לפרסם באתר ההדלפות שלה נתונים שגנבה, כביכול, ממערכות החברה, במידה ו-Continental לא תיכנע לדרישותיה תוך 22 שעות ממועד פרסום האולטימטום. בשעה זו לא ידוע באילו נתונים מדובר או מתי התרחשה הפריצה, אך מכיוון ש-LockBit מאיימת שתפרסם את "כל הנתונים הזמינים", נראה שהחברה הגרמנית טרם ניהלה עם קבוצת התקיפה משא ומתן, או שלחילופין סירבה להיענות לדרישות. בתוך כך, סמנכ"לית התקשורת והשיווק של Continental קתרין בלקוול נמנעה מלאשר למגזין אבטחת המידע BleepingComputer את טענותיה של LockBit ולא שיתפה פרטים אודות המתקפה. במקום זאת, היא סיפקה הפניה להצהרה שפירסמה החברה בנושא התקיפה, לפיה בתחילת אוגוסט זיהתה Continental פרצת אבטחה, לאחר שתוקפים חדרו לחלקים ממערכות ה-IT שלה. לדברי החברה, מיד עם גילוי המתקפה היא נקטה בכל אמצעי ההגנה הדרושים להשבת מערכות ה-IT שלה לשלמותם, והיא חוקרת את האירוע בתמיכת מומחי אבטחת סייבר חיצוניים. בשעה זו היא אינה חולקת את ממצאי החקירה ומסרבת לקשר את המתקפה שאירעה באוגוסט לטענותיה של LockBit.

חבר כנופיית LockBit נעצר בקנדה

ב-10 בנובמבר הודיע היורופול כי ב-26 באוקטובר עצר בעיר אונטריו חבר בקבוצת התקיפה הידועה, לאחר חקירה מקפת שהובילו רשויות צרפתיות בשיתוף לשכת החקירות הפדרלית (FBI), היורופול והמשטרה הרכובה המלכותית של קנדה (RCMP). העצור (33) הוא בעל אזרחות רוסית, ונחשד בחברות ב-LockBit, במסגרתה הוציא אל הפועל תקיפות רבות נגד תשתיות קריטיות ואף נגד משרד המשפטים הצרפתי בתחילת השנה (ראו, ״הסייבר״, 3.2.22). בביתו של החשוד נמצאו שני כלי נשק, 8 מחשבים, 32 כוננים חיצוניים וכ-400 אלף יורו בנכסי קריפטו. להלן תיעוד שעון החול של-LockBit הציבה באתרה למשרד המשפטים הצרפתי לאחר תקיפתו.

 

(מקור: ZDNet, 28.1.22)

 

נוזקת Azov מופצת ברחבי העולם ומשמשת כ-Wiper 

לאחר שבחודש שעבר החלו תוקפים להפיץ את נוזקת Azov באמצעות תוכנות פיראטיות שהתיימרו להצפין קבצים של קורבנות (ראו ״הסייבר״, 3.11.22), כעת נמצאה הוכחה שהיא מוחקת ומשמידה את המידע של הקורבן ומדביקה תוכנות שונות במערכותיו. בשבוע שעבר, חוקר האבטחה ייז׳י וינופל מחברת Check Point, שניתח את Azov, אישר למגזין אבטחת המידע BleepingComputer שהיא נוצרה במיוחד להשחתת נתונים, ומתוכנתת להמתנה במצב רדום במכשיר הנגוע עד למועד מסוים, שעם הגיעו מתחיל לרוץ תהליך שמשחית לחלוטין את נתוני הקורבן. לדברי החוקר, התוכנה מחליפה את תוכנם של הקבצים המקוריים ב״נתוני זבל״ בעלי 666 בייטים לסירוגין (המספר 666 מקושר בתרבות לשטן, אלמנט נוסף המראה על כוונתם הזדונית של התוקפים), על פי לולאה המביאה לצורתו הסופית הבאה של הקובץ המושחת: 666 בייטים של אשפה, 666 בייטים מקוריים, 666 בייטים של אשפה, 666 בייטים מקוריים, וכן הלאה. על מנת לגרום לנזק רב יותר, הנוזקה מדביקה או יוצרת Backdoor על קובצי הפעלה של Windows 64 bit, שנתיב הקובץ שלהם אינו מכיל את המחרוזות הבאות:

  • Windows\:

  • \ProgramData\

  • cache2\entries\

  • \Low\Content.IE5\

  • \User Data\Default\Cache\

  • Documents and Settings

  • All Users\

​בשעה זו לא ברור מדוע התוקף משקיע כספים בהפצת הנוזקה. אחת האפשרויות היא שמטרת הפעילות היא לכסות על התנהגות זדונית אחרת, ואילו תיאוריה אחרת גורסת שמדובר בניסיון "להטריל״ את קהילת הסייבר. כך או כך, לקורבנות Azov אין דרך לשחזר את הקבצים, ומכיוון שישנם קובצי הפעלה נגועים, יש להתקין מחדש את Windows, ליתר ביטחון. למרות שהנוזקה נקראת על שם הגדוד הצבאי האוקראיני Azov, לא נראה שיש לה קשר לאוקראינה.

אוסטרליה: חברת ביטוח הבריאות הפרטי Medibank מאוימת בפרסום נתונים של 9.7 מיליון ממשתמשיה לאחר שסירבה לשלם כופר 

החברה המובילה מספקת ביטוח בריאות ומגוון שירותי בריאות אחרים ברחבי אוסטרליה, באמצעות החברות Medibank ו-ahm. מתקפת הכופר שחוותה בחודש שעבר יוחסה לקבוצת התקיפה BlogXX (ראו ״הסייבר״, 27.10.22), שהינה ככל הנראה ״השקה מחדש״ של קבוצת REvil. בשעה זו נראה שהנתונים שנגנבו מ-Medibank כוללים שמות מלאים, כתובות מגורים, תאריכי לידה, מספרי טלפון וכתובות מייל של לקוחות ונציגים מורשים של החברה, וכן מספרי דרכונים ופרטי ויזות של סטודנטים בינלאומיים, פרטי ספקי בריאות ועוד. בתוך כך, החברה פרסמה ללקוחותיה אזהרה, לפיה התוקפים עשויים ליצור עמם קשר ישיר. לדבריה, "בהתבסס על העצות הנרחבות שקיבלנו ממומחי פשיעת סייבר, אנו מאמינים שקיים סיכוי מוגבל בלבד שתשלום כופר יבטיח את החזרת הנתונים של לקוחותינו וימנע את פרסומם". Medibank משתפת פעולה עם המשטרה האוסטרלית ועם המרכז האוסטרלי להגנת סייבר (ACSC) לצורך חקירת האירוע ובניסיון לעצור את שיתוף ומכירת נתוני הלקוחות. עוד ביקשה החברה מלקוחותיה לגלות ערנות בכל תקשורת שהם מקיימים ובכל עסקה מקוונת שהם מבצעים.

מסתמן: Jeppesen, חברת בת של ענקית התעופה בואינג, חווה מתקפת כופרה; נרשמו שיבושים בטיסות

החברה, הנמצאת בבעלות מלאה של בואינג, אישרה השבוע כי החל מה-2 בנובמבר היא מתמודדת עם אירוע סייבר הגורם לשיבושים בטיסות. Jeppesen מהווה ספק קריטי בתחום התעופה, שכן היא מספקת מידע על שינויים בנתיבי טיסות ועל המראות ונחיתות בשדות תעופה. אי לכך, הפגיעה בשירותיה צופנת בחובה פוטנציאל לסיכון בטיחותי. בתוך כך, דובר מטעם בואינג מסר למגזין The Record כי Jeppesen ״מצויה בתהליך של ניהול אירוע סייבר המשפיע על שירותים מסוימים בהקשרי תכנון טיסות. עד כה נרשמו שיבושים בתכנון טיסות, אך בשלב זה אין לנו סיבה להאמין שהתקרית מהווה איום על בטיחות המטוסים או הטיסות״. עוד הוסיף כי החברה עומדת בקשר עם הרשויות והרגולטורים הרלוונטיים, במטרה לשוב לכשירות מלאה בהקדם האפשרי.  למרות לא התקבל מהחברה אישור רשמי על כך שמדובר במתקפת כופרה, לטענת המגזין Live and Let's Fly מקורות פנימיים בבואינג מסרו כי אכן מדובר באירוע כופרה. 

המלחמה במזרח אירופה

 

קבוצת התקיפה RomCom נצפתה מנצלת את KeePass ו-SolarWinds לתקיפת מטרות אוקראיניות ודוברות אנגלית

במסגרת קמפיין חדש, שהתגלה על ידי חוקרי אבטחת מידע מ-BlackBerry, הקבוצה משתמשת בשמות המותגים SolarWinds ,KeePass ו-PDF ומזייפת את המוצרים SolarWinds Network Performance Monitor ,KeePass Open-Source Password Manager ו-PDF Reader Pro, כל זאת בהתבסס על העתקת קוד ה-HTML של האתר המקורי של ספקי התוכנות שצוינו לעיל, רישום דומיין זדוני עם שם זהה לזה המקורי, הפעלת נוזקה בתוך אפליקציה לגיטימית, העלאתה לאתר והפצה של מיילי פישינג לקורבנות. בקמפיין המבוסס על זיוף האתר של SolarWinds, הנוזקה מופצת באמצעות גרסה נגועה של (SolarWinds Network Performance Monitoring (NPM, כאשר בעת הורדת ״גרסת הניסיון״ של התוכנה של SolarWinds מוצג למשתמש טופס הרשמה מקורי של החברה. עם מילוי הטופס הפרטים יועברו ל-SolarWinds, וייתכן שהקורבן יקבל שיחה מנציג מכירות של החברה, דבר המחזק את אמונתנו שהוריד תוכנה לגיטימית, כשבפועל הוריד את ה-(RAT (Remote Access Trojan של התוקף. הקובץ המורד, Solarwinds-Orion-NPM-Eval.exe, מכיל חתימה דיגיטלית מאת Wechapaisch Consulting & Construction Limited, שנצפתה בעבר בשימוש על ידי RomCom. בקמפיין המזייף את KeePass, שירות קוד פתוח לניהול סיסמאות, קבוצת התקיפה העתיקה את האתר המקורי של המוצר, כאשר בהורדת התוכנה מהאתר המזויף מורדת למחשב חבילה זדונית בשם KeePass-2.52, שבפתיחתה מתגלים שני קבצים זדוניים: Setup.exe, המפעיל את נוזקת ה-RAT, ו-hlpr.dat, המוריד אותה. חוקרי BlackBerry אף גילו אתרים מזויפים של KeePass ו-PDF Reader באוקראינית, שעמודי התקנון שלהם מאוחסנים באותו URL, באופן המעיד על כך שמדובר בחברות אנגליות (״href="privacy/uk_privacy.html", href="privacy/uk_term.html", href="privacy/uk_disclaimer.ht). עוד התגלה מרכז שליטה בקרה חדש שנרשם ב-27 באוקטובר ומשתמש בתעודת SSL שמתחזה לכזו המצויה בבעלות בריטית.

צוות קונפידס ממליץ לארגונים לחסום את מזהי התקיפה (IOCs) המופיעים בדיווח של BlackBerry.

סייבר בעולם

 
 

קמפיין פישינג חדש מתמקד בחשבונות טוויטר מאומתים

הפעילות נצפתה בזמן הכרזתה של טוויטר על תוכניתה החדשה לתשלום חודשי של 8 דולר עבור Twitter Blue וסימון חשבון מאומת, כל זאת תחת הנהלתו החדשה של אילון מאסק. מוקדם יותר השבוע מאסק מינה את עצמו למנכ״ל טוויטר, לאחר שרכש את החברה. כחלק מהמהלך התנהל תהליך חשיבה מחדש על אופן האימות של חשבונות בפלטפורמה, כאשר תחילה התכוונה החברה לגבות ממשתמשים מאומתים תשלום חודשי בסך 20 דולר, ואולם בשלב מאוחר יותר פרסם מאסק את התשלום המופחת. בכך, עבור 8 דולרים בחודש יקבלו המשתמשים את סימון החשבון המאומת, תיעדוף בתגובות, פחות מודעות פרסום וכן אפשרות להעלות תכני מולטימדיה ארוכים יותר. בעקבות הכרזתו של מאסק נצפה על ידי מגזין אבטחת המידע BleepingComputer קמפיין פישינג המכוון נגד חשבונות טוויטר מאומתים, זאת באמצעות מיילים הנשלחים אל משתמשים וכוללים קישור שלחיצה עליו מובילה לאתר המנצל את הודעתה של החברה. באתר מתבקשים המשתמשים לקליד את פרטי ההתחברת שלהם פן חשבונם יושהה, אך בפועל הפרטים נגנבים על ידי התוקפים. מניתוח המיילים עולה שמקורם בשרתים של אתרי אינטרנט ובבלוגים פרוצים.

צ׳ילה: מצפה הכוכבים הגדול בעולם ALMA הושבת עקב מתקפת סייבר 

מ-ALMA דווח כי מתקפה שהתרחשה ב-29 באוקטובר הביאה להשעיית פעולתם של מכשירי התצפית ואתר הבית של המצפה. בשעה זו אין ביכולתו של הארגון להעריך מתי ישוב לפעילות מלאה, אך לדבריו, מומחים עובדים כעת לשחזור המערכות. עוד נמסר כי המתקפה לא פגעה באנטנות או בנתונים.

הרכבת הדנית מושבתת עקב מתקפת סייבר על קבלן משנה 

כל הרכבות המופעלות על ידי DSB, חברת הרכבות הגדולה בדנמרק, עצרו בבוקר יום שבת ה-5 בנובמבר למשך מספר שעות עקב מתקפה על Supeo, קבלן משנה המספק לחברה פתרונות ניהול נכסים ארגוניים, כך לדברי ראש האבטחה של DSB, קרסטן דאם סונדרבו-יעקובסן. השיבוש נבע מהחלטתה של Supeo לסגור את שרתיה בעקבות המתקפה, דבר שהוביל להשבתת התוכנה המשמשת את נהגי הרכבות. ככל הנראה, המניע למתקפה הוא כלכלי, אך בשעה זו טרם ידוע מי עומד מאחוריה, וחקירת האירוע נמצאת בעיצומה.


קבוצת התקיפה Crimson Kingsnake מתחזה למשרדי עורכי דין ושירותי שחזור חובות לשם הונאת ארגונים ברחבי העולם

לאחרונה זיהתה חברת Abnormal Security כי Crimson Kingsnake מתחזה למשרדי עורכי דין ושירותי שחזור חובות כדי להונות עובדים לשלם חשבוניות מזויפות. החשבוניות נהנות ממראה אותנטי ומופיעים בהן פרטים שבחיפוש ב-Google יעלו תוצאות המתאימות לחברות אמיתיות שאליהן מתחזים התוקפים. דברים אלה משווים לפנייה אופי לגיטימי, כביכול, כאשר על מנת להוסיף לתקשורת רובד נוסף של לגיטימציה Crimson Kingsnake משתמשת בכתובות מייל בדומיינים הדומים מאוד לאלה האמיתיים של החברות אליהן היא מתחזה. לאחר שהקורבן מגיב למייל, נשלח אליו קובץ PDF עם דרישת תשלום מזויפת, לרבות מספר חשבונית, פרטי חשבון בנק ומזהה מע"מ של החברה. כאשר הקבוצה נתקלת בהתנגדות מצד הקורבן, היא מתאימה את טקטיקת ההתחזות שלה ומזדהה כ״מנהל החברה״. המייל בו השולח מתחזה למנהל עדיין נשלח מחשבון המתארח בדומיין הרשום בשליטת הקבוצה, אך שם התצוגה מורחב כך שהוא כולל בסוגריים את כתובת המייל של המנהל, לכאורה. הקבוצה נצפתה פועלת ברחבי ארצות הברית, אירופה, המזרח התיכון ואוסטרליה, ומידע מודיעיני מצביע על כך שחלק מחבריה פועלים מבריטניה. לדברי Abnormal Security, מאז מרץ 2022 זוהו 92 דומיינים המקושרים ל-Crimson Kingsnake, שחיקו דומיינים של 19 חברות בארצות הברית, בבריטניה ובאוסטרליה. Abnormal Security ממליצה למנוע הגעת מיילים של תקיפות הנדסה חברתית אל תיבות המייל של עובדים על ידי אימוץ פתרונות אבטחת מייל מודרניים, כגון תוכנה המנתחת זהויות ותכני הודעות. במידה ומיילים זדוניים מגיעים בכל זאת לתיבותיהם של עובדים, ניתן לסכל את הצלחת המתקפה באמצעות קיומם של נהלים חזקים לביצוע תשלומים יוצאים, לרבות תהליך אימות של הגעת כספים אל הנמען הנכון.


Group-IB מנתחת את OPERA1ER, קבוצת APT הפועלת באפריקה מזה שנים מתחת לרדאר

על פי רשומת בלוג חדשה שפורסמה, ב-2019 זיהה צוות המודיעין של Group-IB מספר מתקפות שהתמקדו בארגונים פיננסיים באפריקה ובוצעו על ידי קבוצה תקיפה אחת, לה ניתן הכינוי OPERA1ER, ואשר חבריה דוברי צרפתית. למרות שעוד ב-2021 התכוונו Group-IB וה-Orange-CERT הצרפתי לפרסם במשותף דוח מקיף על פעילותה של הקבוצה, הם חששו שהדבר יביא לניסיון של OPERA1ER לטשטש את עקבותיה. כעת, משבשלה השעה והארגונים למדו די אודות פעילותה של קבוצת ה-APT, מתפרסם כעת הדוח, המכונה OPERA1ER: Playing God without permission, בו נחשפת פעילות הקבוצה וממופים כל הטקטיקות הטכניקות והתהליכים (TTPs) והמתודולוגיות ששימשו אותה במתקפות שהצליחה לבצע לאורך שנים. בין 2018 ל-2022 עלה בידיה של הקבוצה להוציא אל הפועל 30 מתקפות מוצלחות על בנקים, שירותים פיננסיים וחברות תקשורת, בעיקר באפריקה, ולגרוף לא פחות מ-11 מיליון דולר. ואולם, לאחר שחברי OPERA1ER הבחינו בהתעניינות ההולכת וגוברת בפעילותם הזדונית, הם מחקו את חשבונותיהם ושינוי מספרי TTPs ששימשו אותם, בניסיון לכסות את עקבותיהם. דבר זה היה אחד מהגורמים לדחיית מועד פרסום הממצאים.

קבוצת התקיפה APT-36 ממנפת טכניקות, תהליכים וכלים חדשים נגד גופים ממשלתיים בהודו

הקבוצה, הידועה גם בשם Transparent Tribe, מיוחסת לפקיסטן ומחזיקה ביכולות מתקדמות. כעת, צוות המודיעין של חברת Zscaler, שעקב מקרוב אחר פעילות הקבוצה במהלך 2022, פרסם רשומת בלוג המכילה מידע חדש אודותיה, לרבות האופן בו היא ממנפת את מערכת הפרסום של Google להפצת גרסאות זדוניות של יישומי אימות רב-שלבי (MFA) המכילים דלת אחורית (Malvertising). עוד מתואר בפרסום המבנה של כלי חדש, שזכה לשם Limepad, בו משתמשת APT-36 להדלפת מידע מארגונים.

המרכז הלאומי הבריטי להגנת סייבר החל בפרויקט של סריקת כלל האינטרנט הנגיש בבריטניה

בתחילת החודש יצא אל הדרך פרויקט של ה-NCSC שמטרתו ליצור תמונת מצב כוללת של החולשות והפגיעויות הקיימות באינטרנט הבריטי, לסייע לבעלי מערכות להבין את רמת האבטחה שלהן על בסיס יומיומי ולאפשר תגובה אפקטיבית למתקפות Zero-day. לדברי ה-NCSC, הסריקות יבוצעו באמצעות כלי סריקה חינמיים הזמינים לציבור, שיופעלו באופן קבוע וולא פגיעה בזמינות המערכות הנסרקות. בסריקת המערכות יתקיימו אינטראקציות בסיסיות עם השרת או השירות הנגישים לרשת וניתוח תגובתם, בניסיון להבין מהן גרסאות המערכות או השירותים שפועלות עליהם. מידע זה יסייע ל-NCSC להבין אם המערכת פגיעה או לא, ויאפשר לארגון לעדכן את בעליה או מפעיליה בהתאם. התהליך יבוצע כולו בשקיפות מלאה, כאשר ה-NCSC פרסם את כתובות ה-IP שיבצעו את הסריקות ברחבי הרשת. עוד יכלול התהליך Header ייחודי שיזהה את הסריקה בעת כל אינטראקציה עם מערכת או שירות. 

אפליקציית VPN זדונית מכוונת נגד אנשי דת דוברי פרסית ובהאית 

חוקרים של חברת Kaspersky חשפו כי במהלך החודשים האחרונים נוזקת VPN טירגטה את אנשי הדת במטרה לאסוף ממכשירי הטלפון שלהם וממחשביהם נתונים אישיים, יומני שיחות ואנשי קשר. לשם כך יצרו התוקפים חשבונות פיקטיביים בפייסבוק ובאינסטגרם, שכללו תכנים רלוונטיים עבור הקורבנות. בהמשך שודרג הכלי, המכונה SandStrike, על ידי קבוצת התקיפה הצפון קוריאנית Lazarus, שהוסיפה לו יכולות כניסה דרך Backdoor והרצת פקודות מרחוק על מכשיר נגוע. הפעילות האמורה נצפתה בדרום קוריאה, במזרח התיכון ובאפריקה. 

פלטפורמת ה״פישינג כשירות״ Robin Banks מחדשת את פעילותה עם פרודוקטיביות משודרגת הכוללת מעקף אימות דו-שלבי

ביולי השנה חשפו חוקרי חברת IronNet את הפלטפורמה, המספקת ערכת (Phishing-as-a-Service (PhaaS לתקיפת בנקים, במטרה לקבל גישה למידע פיננסי של לקוחות. כתוצאה מהחשיפה, קמפיינים שהופעלו על ידי האקרים שרכשו את השירות הופסקו מיידית, לאחר ש-Cloudflare סימנה את הדומיינים של הפלטפורמה כזדוניים והוסיפה אותם לרשימתה השחורה. בדוח עדכני ומפורט של IronNet, החוקרים מציגים את שובה של הפלטפורמה אל הזירה עם תכונות חדשות המגבירות הן את יעילותה והן את ההגנות שלה, באופן שהופך אותה קשה יותר לגילוי. לשם השבתה לרשת, מפתחי הפלטפורמה העבירו את תשתית ה-Frontend וה-Backend שלה ל-DDOS-GUARD, ספק רוסי, הידוע ככזה המארח אתרי פישינג, ואשר על לקוחותיו נמנה, בין היתר, ארגון החמאס. עוד הוקשחה הגישה של מנויי הפלטפורמה באמצעות אימות רב-שלבי (MFA), כנראה מחשש לפריצה לממשק הניהול, והתווספה האפשרות לגנוב עוגיות על מנת לעקוף אימות דו-שלבי (2FA). תכונה אחרונה זו מתאפשרת באמצעות שימוש בכלי הפרוקסי ההפוך Evilginx2, שמעביר בקשות התחברות ואישורים ולוכד את עוגיית הסשן. תכונה נוספת שנצפתה הינה שימוש בכלי Adspect, המפרסם עצמו ככלי ליבה שנועד לאתר ולסנן מבקרים לא רצויים בתעבורת האינטרנט. ואולם בפועל, Adspect מקודם בפורומים של פישינג ברשת האפלה, והשימוש בו מבטיח הפניית קורבנות לאתר זדוני, לצד הפניית תנועה לא רצויה לאתר ניטרלי, על מנת לחמוק מזיהוי. תופעת הנגשתם של כלי תקיפה כשירות הולכת וצוברת תאוצה, ומאפשרת לפושעים לבצע מתקפות ללא צורך בידע טכני או ברמת תחכום גבוהה.

צוות קונפידס ממליץ שלא ללחוץ על קישורים המתקבלים במיילים או בהודעות SMS שמקורם אינו ידוע או שנראים חשודים, בייחוד כשהקישור מפנה לדף להזנת פרטי התחברות. עוד מומלץ להזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) המופיעים כאן.


חיפשתם פתרון לתקלת WordPress במנועי חיפוש? ייתכן שנפלתם קורבן לקמפיין תקיפה חדש

צוות חוקרים של Sucuri זיהה קמפיין תקיפה חדש המפנה ״שאלות ותשובות״ מזויפות בנושא אתרי WordPress אל הדומיין החדש ois[.]is, על מנת לצבור עבורו מוניטין חיובי במנועי החיפוש. במהלך החודשים האחרונים זוהו יותר מ-15,000 אתרים המכילים נוזקה שהוטמעה בהם, אשר מפנה גולשים לדומיין הזדוני. לדברי החוקרים, מרבית הקבצים הזדוניים שהוטמעו באתרים מיועדים ל-WordPress, בעוד שמקצתם הם קבצי PHP הנלווים לאתר. הנוזקה פועלת בצורה חכמה ומגבילה עצמה למספר מסוים של קבצים שאותם היא מחדירה לאתר, זאת על מנת לחמוק מתוכנות זיהוי. חשוב לזכור שלמרות שבשעה זו האתרים שמפנים את מבקריהם לדומיין הזדוני אינם פועלים באופן אחר נגד הגולשים, הם עלולים במהרה להפוך לכאלה הפוגעים במבקרים בעצמם.

צוות קונפידס ממליץ ליישם פעולות בסיסיות להגנה על אתרי WordPress, כגון הגבלת הגישה לממשק האדמין בפלטפורמה, הטמעת אמצעי זיהוי כפול בהתחברות והתקנת עדכוני האבטחה החדשים ביותר עבור הטכנולוגיות שבשימוש הפלטפורמה. 

סייבר בישראל

 

תוכנת ריגול זוהתה בשרתי האוניברסיטה העברית בירושלים 

בעקבות זיהוי הרוגלה פתחה יחידת הסייבר של ימ״ר ירושלים בחקירה ואף עצרה חשוד, מומחה סייבר המואשם כעת בקבלת דבר במרמה, במחיקה ושינוי חומרי מחשב ובחדירה למחשב והפצת וירוס במטרה לגשת לשרתי האוניברסיטה.  התוקף הודה במיוחס לו. מהנהלת האוניברסיטה נמסר כי ״הנושא נמצא בחקירת משטרה״. 

חברת קונפידס זיהתה ובלמה מתקפה צפון קוריאנית על חברת קריפטו ישראלית

בהמשך לפרסומים בשבועות האחרונים אודות זיהוי ובלימת מתקפה צפון קוריאנית שכוונה נגד חברת פינטק ישראלית מתחום הקריפטו, השבוע אנו חושפים פרטים נוספים ואת הדוח המולבן אודות הטכניקות, הטקטיקות ותהליכי התקיפה (TTPs) שנצפו באירוע הנוכחי. כפי שדיווחנו בפרסומים קודמים (ראו ״הסייבר״, 13.10.22), במהלך אוקטובר זיהינו במערכותיו של לקוח המנוי על שירותי הניטור של קונפידס פעילות של קמפיין תקיפה שהדגימה שיטות דומות לאלה שנצפו בקמפיין אחר, המיוחס לקבוצת התקיפה Lazarus (ראו ״הסייבר״, 29.9.22). צוות האבטחה שלנו, שפעל במשותף עם ארגונים נוספים בתחומי המודיעין, חקר ובלם את האירוע, ובכך הסיר את גישת התוקף לרשת החברה הנתקפת. בנוסף לדיווחים הקודמים בנושא, השבוע אנחנו חושפים את שרשרת התקיפה, שהחלה ביצירת קשר ממוקד עם עובד בחברה באמצעות פרופיל לינקדאין פיקטיבי, והמשיכה בשליחת קובץ זדוני היוצר קשר עם שרת התוקף ומאפשר גישה אל מחשב הקורבן. 

צוות קונפידס ממליץ לארגונים להטמיע את מזהי התקיפה (IOCs) במערכות ההגנה שלהם ולחדד את מודעות העובדים לקמפיינים דומים. 

חוקר אבטחת מידע ישראלי חשף קמפיין פישינג שהתחזה ל״דואר ישראל״

בשנה האחרונה נצפו קמפייני פישינג רבים שהתחזו ל״דואר ישראל״ (ראו ״הסייבר״, 6.1.22), בניסיון לגנוב פרטי כרטיסי אשראי של לקוחות הממתינים לקבלת משלוח. השבוע פרסם חוקר אבטחת המידע הישראלי תומר בר, כי לאחר שקיבל בקשת תשלום פיקטיבית ב-SMS הוא ביצע ניתוח של התקיפה והצליח לחשוף את שרתי קבוצת התקיפה ולגשת אל פרטי ההזדהות שלה בפלטפורמת טלגרם, שם נמצא כל המידע שעלה בידיה לגנוב מקורבנותיה. נוסף על כך, בר הוריד את קוד האתר מהשרת והעלה אותו ל-VirusTotal, במטרה לאפשר לאחרים לזהותו כזדוני. לטענת החוקר, מדובר בקבוצת תקיפה ערבית המכונה GCS TEAM, ואילו בוט הטלגרם האמור מכונה Fajer2zain_bot.

סייבר ופרטיות - רגולציה ותקינה

 

כיסוי נזקי מתקפות כופרה: חברת Mondelez הגיעה לפשרה עם Zurich על תשלום נזקי NotPetya

בהמשך למתקפת הכופרה NotPetya, שהתרחשה ב-2017, יצרנית החטיפים הבינלאומית הגיעה כעת לפשרה עם Zurich American Insurance, המבטחת אותה בביטוח סייבר, בתנאים שלא פורסמו. המתקפה, שפגעה בכ-1,700 שרתים ובכ-24,000 מחשבים ניידים של Mondelez, גרמה לחברה נזק בסך כ-100 מיליון דולר, שמקורו בהשבתת מערכותיה ובעלויות של שיקומן. ב-2018 הגישה Mondelez תביעה נגד המבטחת, ומאז התיק נמצא בהתדיינות בבית משפט. הסכם הפשרה שהושג כעת מעיד על הפערים שנפערים בשוק ביטוח הסייבר הגלובלי, כאשר בעקבות מתקפת ה-NotPetya ומתקפות כופרה אחרות, חברות ביטוח שמספקות ביטוחי סייבר משנות כעת את פוליסות הכיסוי שהן מציעות. למשל, Lloyd's הלונדונית קבעה לאחרונה שביטוח סייבר חייב לכלול פטור ממתקפות יזומות של מדינות, ולהחריג את כיסוין של אלה. בשל הקשיים בייחוס מתקפות סייבר באופן ודאי והרתיעה של מדינות מפני ייחוס פומבי, טרם ברור מה ייחשב ל"מתקפה בחסות המדינה".

הצלב האדום מקדם סמל דיגיטלי שיסייע בהגנה על מערכות רפואיות דיגיטליות בשעת לחימה  

הוועד הבינלאומי של הצלב האדום (ICRC), הממונה על פעילות רפואית ובריאותית בעתות מלחמה, פרסם ב-3 בנובמבר דוח חדש בנושא תהליך האימוץ של סמל דיגיטלי שיאפשר זיהוי של משאבים רפואיים החסינים מפני פעילות מלחמתית, בדומה לסמלים הפיזיים המסומנים על גגות בתי חולים ומוסדות בריאות נוספים, האסורים לתקיפה על פי דיני מלחמה, ולסימון אנשי צוותים רפואיים ואמבולנסים. בדוח, שעל המומחים שייעצו למחבריו נמנית אלי שמי, עובדת קונפידס לשעבר, מציע הארגון אמצעים שונים לסימון מערכות דיגיטליות מפני פעילות עוינת של תוקפים מדינתיים ולא-מדינתיים, כל זאת באמצעות שימוש בסמל דיגיטלי מאושר בשמות דומיין (DNS) ייחודיים, בכתובות IP או בתיקיות ספציפיות במערכות ממוחשבות. עד כה קיבל הוועד משוב חיובי לדוח, והוא מתכנן להמשיך ולפתח את היוזמה. לדברי מנכ"ל הארגון רוברט מרדיני, "ככל שחברות מאמצות תהליכי דיגיטיזציה, פעולות סייבר הופכות למציאות של סכסוך מזוין. [...] הסמל הדיגיטלי הוא צעד קונקרטי להגנה על תשתית רפואית חיונית ועל ה-ICRC בתחום הדיגיטלי".

הרשות להגנת הפרטיות פרסמה טיוטת המלצות להגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעות מכשירים 

ב-6 בנובמבר פרסמה הרשות להגנת הפרטיות מסמך ראשון מסוגו, העוסק בהגנה על מידע פרטי של מטופלים במערכת הבריאות, המועבר באמצעות מכשור דיגיטלי ותוכנות שאינן ייעודיות, כגון WhatsApp, טלגרם, Gmail ועוד. הפרסום כולל טיוטה של מסמך המלצות להערות הציבור, שנועד להעלות את המודעות לנושא העברתו של מידע רפואי רגיש בפלטפורמות מסוג זה, ולחשש מזליגת או גניבת המידע, דבר שעלול להוביל לפגיעה חמורה בפרטיות מטופלים. במסמך מפורטות חשיבותה של ההגנה על מידע רפואי אישי וההשלכות הקשות שעשויות להיות לגניבתו, הן עבור המטופל והן בהיבט של אמון הציבור במוסדות הבריאות. מטרת הרשות היא לתת את הדעת על התופעה, לסקור את הדין הרלוונטי הקיים בנושא ולנסח הבהרות והמלצות רלוונטיות. כמו כן, הרשות מדגישה כי אין בכוונתה למנוע את העברת המידע באופנים שצוינו, אלא רק לספק המלצות לצורך הגנת פרטיות המטופלים ולחדד את החובות המוטלות בהקשר זה על בעלי מאגרי מידע רפואיים. בין המלצותיה של הרשות למוסדות בריאות: לא להעביר מידע רגיש במיוחד בפלטפורמות שאינן ייעודיות, להימנע משמירת מידע רפואי על גבי מכשירים פרטיים, להטמיע במכשירים תוכנות אבטחה, להימנע משימוש ברשתות אלחוטיות ולצמצם את ההרשאות לאפליקציות המותקנות על גבי סמארטפונים. הרשות מבקשת לקבל הערות מהציבור עד ל-6.12.2022. 

חוק הגנת פרטיות המידע הראשון באינדונזיה: המדינה הרביעית בגודלה בעולם מקדמת את ההגנה על המידע של תושביה

ב-17 באוקטובר נכנס לתוקף חוק הגנת פרטיות המידע הראשון של הרפובליקה האינדונזית (נוסח החוק המקורי באינדונזית). לפני כניסת החוק לתוקף לא התקיים במדינה, המונה 280 מיליון תושבים, הסדר כולל בנושא הגנת פרטיות המידע. החוק החדש מסדיר היבטים שונים של שימוש במידע אישי של תושבי המדינה, ובין היתר קובע קנס בגובה עד 2% מההכנסות השנתיות של ארגון שיפר את הוראותיו ואפשרות להחרמת נכסים. עוד מתיר החוק גזר דין של עד 6 שנות מאסר בגין זיוף מידע אישי. שר התקשורת של הרפובליקה ג׳וני פלייט אמר כי הדבר "מסמן עידן חדש בניהול הנתונים האישיים באינדונזיה".

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.