WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

15.7.2022-21.7.2022

עיקרי הדברים

  1. . ישראל: בעקבות מתקפת סייבר של הקבוצה האיראנית ALtahrea נמנעה גישה מחו״ל לאתר משרד הבריאות - ישראלים רבים לא הורשו לעלות לטיסות; שר התקשורת מכנס את ההנהלה הבכירה של כלל חברות התקשורת במשק הישראלי, בניסיון לרתום אותן למאמץ הגנת הסייבר הלאומי.

  2. איראן: קבוצת ההאקרים Labdookhtegan חשפה את זהותם של האקרים הפועלים עבור משמרות המהפכה.

  3. המלחמה בין רוסיה לאוקראינה: קבוצת תקיפה המזוהה עם ה-FSB הרוסי פרסמה אפליקציה המתחזה לכזו שמטרתה לסייע לאוקראינה בתקיפות סייבר נגד רוסיה, אך בפועל מדביקה בנוזקה.

  4. תרמית פישינג חדשה ״הולכת על כל הקופה״: ניצול אתרים מבוססי WordPress להתחזות ל-PayPal ולבקשת פרטי בנק וצילומי פנים - 52 מיליון דולר נגנבו מ-42 מיליון איש; מיקרוסופט חושפת מתקפת פישינג העוקפת אימות דו-שלבי לטובת מתקפות BEC - פגעה ביותר מ-10,000 ארגונים. 

  5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Juniper Networks (קריטי); מוצרי Oracle (קריטי); מוצרי Apple (קריטי); המוצר Netwrix Auditor (קריטי); מערכת MV720 GPS Tracker של MiCODUS (קריטי); מוצרי Cisco (קריטי);   דפדפן Google Chrome (גבוה); שרת ה-vCenter של VMware (גבוה).*

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה למוצרי Juniper Networks נותנים מענה ל-76 חולשות קריטיות
עדכון אבטחה למוצר Netwrix Auditor נותן מענה לחולשה קריטית
עדכוני אבטחה למוצרי Apple נותנים מענה ל-39 חולשות
עדכון אבטחה לשרת ה-vCenter של VMware נותן מענה לחולשה ברמת חומרה גבוהה
ה-CISA ומשמר החופים האמריקאי מתריעים מפני ניסיונות APT לנצל את החולשה הקריטית Log4Shell
6 חולשות, בהן 2 קריטיות, נמצאו ב-MV720 GPS Tracker של MiCODUS המשמש למעקב אחרי רכבים; טרם פורסם עדכון אבטחה לסגירתן
עדכון האבטחה הרבעוני של Oracle נותן מענה ל-349 חולשות, בהן קריטיות, שנמצאו בקוד וברכיבי צד שלישי המהווים חלק ממערכותיה
עדכון אבטחה ל-Google Chrome נותן מענה ל-6 חולשות, 5 מהן ברמת חומרה גבוהה
עדכוני אבטחה למוצרי Cisco נותנים מענה ל-45 חולשות, 5 מהן קריטיות

התקפות ואיומים

Sality: נוזקה חדשה המשמשת לגניבת סיסמאות ולכריית מטבעות קריפטוגרפיים תוקפת מערכות תעשייתיות
חדירה לארגונים דרך שרתי VoIP מסוג Digium
עלייה בכמות התקיפות נגד התוסף WPBakery של WordPress
תרמית פישינג חדשה ״הולכת על כל הקופה״: ניצול אתרים מבוססי WordPress להתחזות ל-PayPal ולבקשת פרטי בנק וצילומי פנים; 52 מיליון דולר נגנבו מ-42 מיליון קורבנות
נוזקה שהתחזתה לאפליקציות פופולריות ב-Play Store רשמה יותר מ-3 מיליון הורדות
ChromeLoader: נוזקת Adware המותקנת כתוסף לדפדפן Chrome וחוטפת חיפושי דפדפן מהמשתמש
Mantis: מאחורי מתקפת הבוטנט הגדולה בהיסטוריה שכללה 26 מיליון בקשות לשנייה
מיקרוסופט חושפת מתקפת פישינג העוקפת אימות דו-שלבי לטובת מתקפות BEC; יותר מ-10,000 ארגונים נפגעו

השבוע בכופרה

מיקרוסופט מקשרת בין הכופרה H0lyGh0st להאקרים צפון קוריאנים
יצרנית חומרי הבנייה הגרמנית Knauf חוותה מתקפת כופרה
חברת אבטחת המידע Kaspersky מצאה משפחה חדשה של כופרות הכתובות בשפת Rust
המלחמה במזרח אירופה - בקרות: דוד
קבוצת תקיפה המזוהה עם ה-FSB הרוסי מפיצה אפליקציה המתחזה לכזו שפיתח גדוד אזוב האוקראיני למטרת סיוע לאוקראינה בתקיפות סייבר נגד רוסיה - אך בפועל מדביקה בנוזקה

סייבר בישראל

בעקבות מתקפת סייבר של הקבוצה האיראנית ALtahrea נמנעה גישה מחו״ל לאתר משרד הבריאות; ישראלים רבים לא הורשו לעלות לטיסות
שר התקשורת מכנס את ההנהלה הבכירה של כלל חברות התקשורת במשק הישראלי בניסיון לרתום אותן למאמץ הגנת הסייבר הלאומי

סייבר בעולם

ארה״ב ממשיכה לפעול לחיזוק הגנת הסייבר הלאומית ומקימה את ״מועצת סקירת בטיחות הסייבר״, שמפרסמת מסמך מפורט על Log4j
קבוצת ההאקרים Labdookhtegan חשפה את זהותם של האקרים הפועלים עבור משמרות המהפכה האיסלאמית
ממשלת אלבניה השביתה את מערכותיה עקב מתקפת סייבר
סין מאשימה את קבוצת ה-APT ההודית Confucius בתקיפת יעדים ממשלתיים בפקיסטן
משרד החוץ הבלגי מאשים את סין במתקפת סייבר נגד ארגונים ממשלתיים
הסוכנות הדנית להגנת מידע אוסרת על משרדי ממשל להשתמש בשירותי Google SaaS עקב הפרה אפשרית של אסדרת ה-GDP

סייבר ופרטיות - רגולציה ותקינה

כנסים

 
 

הציטוט השבועי

״פעולות כמו זו של יחידת 'שאהיד כאווה', שאספה מידע על ספינות, תחנות דלק ומפעלי תעשייה במספר מדינות, נעשו תחת הכוונה ישירה של ההנהגה האיראנית ומשמרות המהפכה, כפי שנחשף בתחקירים.״ 

שר הביטחון בני גנץ בנאום בכנס הסייבר באוניברסיטת תל אביב, 29.6.22.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה למוצרי Juniper Networks נותנים מענה ל-76 חולשות קריטיות

העדכון שפרסמה חברת התקשורת ב-13 ביולי, רלוונטי, בין היתר, למוצרים Junos Space ,Junos OS Evolved ,Contrail Networking ו-Northstar Controller וסוגר חולשות קריטיות העלולות לאפשר לתוקף לבצע מגוון פעולות זדוניות, בהן הרצת קוד מרחוק (RCE), מתקפת מניעת שירות (DDoS), העלאת הרשאות, גישה לא מורשית לתוכן (Out-of-bounds Read) ומתקפות נוספות.
צוות קונפידס ממליץ לבעלי מוצרים של Junifer Networks לעיין בידיעון האבטחה שפרסמה החברה, לבדוק אם קיימות חולשות במוצרים שברשותם ולפעול בהתאם להוראות היצרן לעדכון המוצרים או לביצוע פעולות אחרות למיגור החולשות.
 

עדכון אבטחה למוצר Netwrix Auditor נותן מענה לחולשה קריטי

העדכון שפרסמה חברת Netwrix למוצר ב-13 ביולי, מאפשר לארגונים לקבל ״תמונה״ שלמה של פריסת תשתיות ה-IT שלהם ולבצע ניתוח לצרכי שיפור ובקרה. המוצר פועל בסביבות שונות, בהן Active Directory, Exchange, File servers, SharePoint, VMware ועוד. החולשה, שנמצאה במוצר בכל הגרסאות הקודמות ל-Netwrix Auditor 10.5, עלולה לאפשר לתוקף להריץ פקודות זדוניות בהרשאות גבוהות. מאחר והמוצר נמצא בסביבת ה-Active Directory, לרוב עם הרשאות גבוהות, ייתכן שתוקף אשר ישיג שליטה ב-Netwrix Auditor יוכל לפעול גם מול ה-Active Directory.

צוות קונפידס ממליץ לארגונים המשתמשים במוצר לעדכנו באופן מיידי לגרסתו האחרונה, Netwrix Auditor 10.5.
 

עדכוני אבטחה למוצרי Apple נותנים מענה ל-39 חולשות

העדכונים, שפורסמו ב-20 ביולי, רלוונטיים למוצרים iPhone, Apple Watch, macOS, Apple TV ,iPad ו-iPod וסוגרים חולשות שניצולן עלול לאפשר לתוקף להעלות הרשאות ולהריץ פקודות זדוניות במכשיר הקורבן, לשים את ידיו על מידע רגיש ואף להשבית מכשירים פגיעים. למשל, החולשה (CVE-2022-32832) במערכת הקבצים של Apple מתירה לאפליקציה בעלת הרשאות גבוהות לבצע פקודות זדוניות במכשיר הקורבן.

צוות קונפידס ממליץ למשתמשים במוצרי Apple לעדכנם לגרסאותיהם האחרונות.

עדכון אבטחה לשרת ה-vCenter של VMware נותן מענה לחולשה ברמת חומרה גבוה

החולשה (CVE-2021-22048, CVSS 7.1), שהתגלתה בנובמבר האחרון במנגנון האימות של Windows בשרת ה-vCenter, רלוונטית למוצרים VMware vCenter Server ו-VMware Cloud Foundation ועלולה לאפשר לתוקף ללא הרשאות אדמין לבצע העלאת הרשאות. נכון לשעה זו החברה הוציאה תיקון רק לגרסה vCenter Server 7.0, והיא מציעה לעקוף את החולשה על ידי מעבר לאימות AD במקום LDAPS או Identity Provider Federation ל-(AD FS (vSphere 7.0. הנחיות לביצוע המעקף עבור המוצרים הפגיעים ומידע נוסף מצויים כאן.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות, לעקוב אחר פרסום עדכונים עבור הגרסאות שטרם שוחרר להן עדכון וליישם את הדרכים לעקיפת החולשה על מנת להתגונן בפניה.

ה-CISA ומשמר החופים האמריקאי מתריעים מפני ניסיונות APT לנצל את החולשה הקריטית Log4Shell

החולשה הקריטית (CVE-2021-44228, CVSS 10), שהתגלתה בסוף 2021 בספרייה הנפוצה במערכות רבות, קיבלה את ציון החומרה הגבוה ביותר עקב תפוצתה הרחבה, היותה פשוטה לניצול ויכולתה להסב נזק רב. השבוע פורסמה התרעה נוספת בדבר קבוצות תקיפה, חלקן בחסות מדינתית, המנסות לנצל את החולשה במערכות שונות, תוך התמקדות בשרתי VMware Horizon ו-(Unified Access Gateway (UAG שלא עודכנו לגרסאות בהן היא נסגרת.  לצד ההתרעה, ה-CISA מצרפת פירוט טכני על שתי תקיפות שניצלו את החולשה במערכותיהם של שני קורבנות שזהותם נותרה חסויה. הקורבן השני המצוין בהודעה הותקף במקביל על ידי כמה קבוצות שניצלו את החולשה, באירוע שהתרחש במאי, כחצי שנה לאחר פרסום החולשה הקריטית, שלא קיבלה מענה במערכות הקורבן.

צוות קונפידס ממליץ לארגונים המשתמשים במערכות הפגיעות לחולשה לעדכנן לגרסאותיהן האחרונות ולהזין את מזהי התקיפה (IOCs) במערכות הניטור של הארגון.

6 חולשות, בהן 2 קריטיות, נמצאו ב-MV720 GPS Tracker של MiCODUS המשמש למעקב אחרי רכבים; טרם פורסם עדכון אבטחה לסגירתן

החולשות במוצר של החברה הסינית, עליהן דיווחה ב-19 ביולי חברת BitSight, עלולות לאפשר לתוקף לחדור לשרתי ארגונים תוך התחזות לאחד המשתמשים, כל זאת ללא צורך באימות נוסף, ולבצע מספר פעולות זדוניות על מכשיר הקורבן, ממעקב בזמן אמת אחר משתמשים ללא ידיעתם ועד להשבתה מלאה של כלי רכב בזמן נסיעה. נכון להיום, כ-1.5 מיליון מכשירים מסוג זה מותקנים ב-169 מדינות, ברכבים פרטיים ובכאלה השייכים למוסדות ממשל וצבא, לחברות גז ונפט, לתחנות כוח גרעיניות ועוד. עד לכתיבת שורות אלה, טרם התקבלה תגובתה של MiCODUS לממצאים. באירופה, כמות המכשירים הרבה ביותר מן הדגם האמור מצויה באוקראינה. להלן מפת פיזור משתמשי המוצר ברחבי העולם.

צוות קונפידס ממליץ למשתמשי המוצר לפעול לניתוקו המיידי מרכביהם, עד למיגור החולשות.

                                                                   (מקור: BitSight, 19.7.22)

עדכון האבטחה הרבעוני של Oracle נותן מענה ל-349 חולשות, בהן קריטיות, שנמצאו בקוד וברכיבי צד שלישי המהווים חלק ממערכותיה

בדוח העדכון הרבעוני למוצרי החברה שפורסם באתרה מופיעים עדכונים ל-138 מוצרים, הסוגרים, בין היתר, 58 חולשות בדירוג CVSS של 9.8 ומעלה. החולשות עלולות לאפשר לתוקף להריץ קוד מרחוק, להשתלט על שרתים ולהתחבר מרחוק למכשירים ללא צורך בהזדהות.

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.

עדכון אבטחה ל-Google Chrome נותן מענה ל-6 חולשות, 5 מהן ברמת חומרה גבוהה 

גרסה 103.0.5060.134 של Stable Channel for Desktop רלוונטית למערכת ההפעלה Windows וסוגרת בעיקר חולשות מסוג Use-After-Free, שמקורן בניהול שגוי של הקצאתזיכרון במערכת. העדכון עבור מערכות ההפעלה Linux ו-Mac יפורסם בקרוב.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.

עדכוני אבטחה למוצרי Cisco נותנים מענה ל-45 חולשות, 5 מהן קריטיות

3 מהחולשות הקריטיות (CVE-2022-20857, CVE-2022-20858, CVE-2022-20858), המצויות ב-Nexus Dashboard, עלולות לאפשר לתוקף להשיג גישה בלתי מורשית לממשק הניהול ולפעולות פריבילגיות. 2 חולשות קריטיות אחרות (CVE-2022-20812, CVE-2022-20813), המצויות ב-Expressway Series, עלולות לאפשר לתוקף לשכתב קובצי מערכת בהרשאות גבוהות ובכך להריץ קוד שרירותי על עמדות שאינן מעודכנות.

צוות קונפידס ממליץ למשתמשים במוצרי Cisco לעדכנם לגרסאותיהם האחרונות ולעקוב אחר הוראות היצרן למיגור החולשות.

התקפות ואיומים

Sality: נוזקה חדשה המשמשת לגניבת סיסמאות ולכריית מטבעות קריפטוגרפיים תוקפת מערכות תעשייתיות

ממחקר שפרסמה חברת אבטחת המידע Dragos עולה כי על כוונת הנוזקה Sality מצויים PLCs (בקרים תעשייתיים שהותאמו לשליטה בפסי ייצור, במכונות ובמכשירים רובוטיים) ו-HMIs (חומרות או תוכנות שדרכן מתקיימת אינטראקציה עם בקרים). Sality הינה בוטנט אשר על פי חוקרי Dragos מרבה לנצל חשבונות במדיות חברתיות להצעת שחזור, לכאורה, של סיסמאות שנשכחו באמצעות קובץ הפעלה. במידה שלמשתמש שהוריד את קובץ ההפעלה יש חיבור ממחשב Windows למחשב PLC ויציאה מפורט COM, הנוזקה מפצחת, כביכול, את הסיסמה ומנצלת את Autorun של Windows להפצת עותקים של עצמה דרך חיבורי USB ושיתופים ברשת. חוקרי Dragos גילו שהנוזקה אינה באמת מפצחת את הסיסמה אלא גונבת אותה תוך ניצול חולשה (CVE-2022-2003, CVSS 7.7) בקושחה DirectLogic 06 PLC של AutomationDirect, שבנוגע אליה התריעה הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA). 

ניצול החולשה עלול לאפשר לתוקף לבצע שינויים לא מורשים, ובמקרה הספציפי להנדס הודעה ל-CPU שתגרום ל-PLC להגיב להודעה עם סיסמת ה-PLC. על מנת להתחמק מגילוי, Sality מחבלת במנהל ההתקנים שבליבת המערכת של המחשב, מתחילה בזיהוי מוצרי אבטחה, כמו מערכות אנטי-וירוס או חומות אש, ומפסיקה אותם. על פי דיווחים שונים באינטרנט, Sality מסוגלת לסנן IPs וכתובות URL הקשורות לאנטי-וירוסים, וכך מפילה את כל חבילות הרשת היוצאות (פאקטות) המכילות מילות מפתח ספציפיות שקשורות למוצרי אבטחה אלו, דבר המונע ממוצרי האבטחה לקבל עדכונים הרלוונטיים להם. לדברי החוקרים, AutomationDirect אינו הספק היחיד שעל הכוונת של Sality, אשר תוקפת גם ספקי PLC ו-HMI אחרים, כגון OMRON ,Siemens ו-Fuji Electric. החוקרים ממליצים שלא להוריד תוכנות לפיצוח סיסמאות ממקורות שאינם ידועים.

חדירה לארגונים דרך שרתי VoIP מסוג Digium

Unit 42, יחידת המחקר של חברת Palo Alto, חושפת קמפיין תקיפות נגד שרתי VoIP (או Voice over IP , פרוטוקול המשמש לשיחות באמצעות טלפונים או מכשירים המחוברים לאינטרנט), שמתמקד במערכת Elastix, המכילה את המודול FreePBX שכתוב ב-PHP. במערכת Elastix, בה נעשה שימוש בטלפונים מתוצרת Digium, התוקפים מנצלים את החולשה CVE-2021-45461 להכנסת Web shell לשרתי VoIP, ובאמצעותו מריצים פקודות מרחוק ומשמרים אחיזה בשרתים. מדצמבר 2021 זיהה צוות החוקרים כ-500 אלף וריאנטים של נוזקות מסוג זה, המתקינות Web shells עם שכבות מרובות שעברו ערפול (Obfuscations) במערכות ההפעלה של שרתים ואוחזות בהם. מהלך המתקפה: הזרקת Dropper שמבצע לעצמו Spoofing בנוגע לזמן יצירת הקובץ, כך שיהיה זהה לזמן יצירה של קובץ קיים על מנת להיטמע במערכת ההפעלה, כאשר במקביל מתבצעת התקנה של ה-Web shell, שהינו קוד PHP מעורפל שמכיל מחרוזות ״זבל״, אשר נועדו לשנות את הערך החד-ערכי של הקובץ (SHA-1 ,SHA-256 וכן הלאה) כדי למנוע ממנועי אנטי-וירוס מלזהות את הסמפלים של הווירוסים. לאחר מכן ה-Web shell דורש אימות מול משתמש המנסה להתחבר אליו עם מחרוזת MD5 הייחודית לאותו Web shell. זאת ועוד, המשתמש יכול להוסיף פרמטר Admin ולהזין בו את סוג הסשן שהוא יוצר מול המערכת (Elastix או FreePBX). נוסף על אלה, הנוזקה מזריקה למערכת קובץ הגדרות שמחליף את הקובץ htaccess., במטרה לשנות את הקונפיגורציה באופן שיהפוך את דף ה-config.php לכזה שיהיה ניתן לגשת אליו בקלות. לאחר מכן הנוזקה יוצרת משתמשים עם הרשאות Root ואחיזה הן באמצעות קוד מעורפל נוסף, שתפקידו ליצור בשרת שני חשבונות עם הרשאות Root, והן באמצעות משימות מתוזמנות להדבקה מחודשת של השרת.

צוות קונפידס ממליץ למשתמשים בטלפונים מסוג Digium לעדכן את מערכותיהם לגרסתן האחרונה ולהזין בחומות האש את ה-IOCs המצויים כאן. זאת ועוד, התקנת EDR על השרתים יגדיל משמעותית זיהוי של תהליכים חשודים הקשורים להתקפה. לבסוף, כלי שיבצע URL Filtering יוכל לסייע במניעת תקשורת של התוקף עם ה-Web shell.

עלייה בכמות התקיפות נגד התוסף WPBakery של WordPress

צוות חוקרים מחברת Wordfence זיהה לאחרונה עלייה בכמות התקיפות המתמקדות בתוסף, המשמש בוני אתרים לבניית עיצוב לאתרים באמצעות גרירה והצבת אובייקטים, ללא צורך בידע בתכנות. הקמפיין שנצפה על ידי החוקרים מתבסס על ניצול חולשה קריטית (CVE-2021-24284, CVSS 9.8) בתוסף, המאפשרת העלאת קבצים ללא הרשאות על ידי שימוש בפונקציית ה-AJAX המכונה uploadFontIcon, שפותחת את קובץ ה-ZIP המצורף לתיקייה wp-content/uploads/kaswara/fonts_icon ללא בדיקת הקובץ המועלה. דבר זה עלול להקנות לתוקף שליטה מלאה על האתר. מכיוון שהתוסף נסגר ואין עבורו שירות, החולשה מצויה בכל גרסאותיו. צוות החוקרים של Wordfence חסם בממוצע 443,868 תקיפות על התוסף ביום ב-1,599,852 כתובות שונות, כאשר במרבית התקיפות נצפתה בקשת POST לכתובת wp-admin/admin-ajax.php/ לשם שימוש בפונקציה uploadFontIcon להעלאת קובץ לתוסף. עוד נצפו 10,215 כתובות IP ששימשו לתקיפה. לדברי החוקרים, רוב התקיפות כללו ניסיון להעלות לאתר קובץ ZIP בשם a57bze8931.zip המכיל קובץ PHP יחיד - a57bze8931.php. קובץ זה הינו כלי להעלאת קבצים המצוי בשליטת התוקף, ומאפשר לו להמשיך ולהעלות קבצים לאתר עד להשתלטות מלאה עליו. מזהים נוספים של התקיפה (IOCs): xxx]_young.zip ,inject.zip ,king_zip.zip ,null.zip ,plugin.zip]

WordPress ממליצה להימנע משימוש בתוסף. גופים העושים בו שימוש יכולים לבדוק אם נפרצו בעזרת המזהים המופיעים בהתרעה.

תרמית פישינג חדשה ״הולכת על כל הקופה״: ניצול אתרים מבוססי WordPress להתחזות ל-PayPal ולבקשת פרטי בנק וצילומי פנים; 52 מיליון דולר נגנבו מ-42 מיליון קורבנות

בדוח שפרסמה חברת Akamai מוצגת תרמית פישינג ברמה שטרם נצפתה בעבר, ואשר במסגרתה מנסים תוקפים ליצור תחושת לגיטימיות בקרב הקורבן על ידי הצגת מבחן CAPTCHA סטנדרטי, בו הוא מתבקש להקליד ספרות מתוך תמונה. לאחר הקלדת הספרות ובדיקת תקינותן, הקורבן מופנה לשלבים שכיחים יותר המופיעים בעמודי פישינג, לרבות בקשה להזנת כתובת מייל וסיסמה. לאחר מכן מוצגת בעמוד הודעה לפיה זוהתה בחשבון המשתמש פעילות חשודה, והוא מתבקש לספק פרטים נוספים בדמותם של פרטי כרטיס אשראי וכתובתו המלא. לאחר מכן הקורבן מתבקש להזין את קוד הכספומט של הכרטיס ואת שם אמו, ובשלב הסופי של התרמית אף לאמת את זהותו באמצעות העלאת מסמך אחד מתוך שלושה לבחירתו - דרכון, תעודת זהות או רישיון נהיגה. 

מלבד העומק והמורכבות של התרמית בעת גניבת המידע, יוצריה נקטו בכמה צעדים להבטחת נראות לגיטימית של האתר בעיניי המשתמש וסורקי אתרים חשודים, כאשר המערכת בה הם משתמשים מבצעת מתקפות Brute-force על עמודי WordPress לגיטימיים, ולאחר שהיא נוחלת הצלחה היא מעלה אל האתר את ה-Phishing kit ו״מתיישבת״ על עמודים שהיו לגיטמיים, על מנת לחמוק ממנועי זיהוי ומסורקי אבטחה. טכניקה נוספת בה משתמשת המערכת כדי להימנע מגילוי היא בדיקת כתובת ה-IP הניגשת אל עמוד, על מנת לוודא שאינה מגיעה מרשימת כתובות המזוהות עם חברות אבטחה כמו Sophos או VirusTotal, ושאינה כתובת שזוהתה כזדונית על ידי מנועי סריקה. ככל הנראה, מתקפות הפישינג עולות מדרגה ומתחילות לשלב ״מנגנוני אבטחה" מזויפים כדי לזכות באמון הקורבן.

צוות קונפידס ממליץ לגלות ערנות בעת התחברות לשירותים פיננסיים קריטיים מוכרים, כגון PayPal, ולשים לב למנגנונים יוצאי דופן, למשל בקשת קוד כספומט או היעדר אימות דו-שלבי (2FA).

נוזקה שהתחזתה לאפליקציות פופולריות ב-Play Store רשמה יותר מ-3 מיליון הורדות 

חוקר האבטחה הצרפתי מקסים אינגראו חשף בחשבון הטוויטר שלו כי גילה משפחת נוזקות חדשה, לה קרא Autolycos. נוזקות אלה התחזו בחנות האפליקציות של Google ל-8 אפליקציות לגיטימיות לפחות, שהחל מיוני 2021 צברו מיליוני הורדות. להערכת החוקר, ייתכן וקיימות בחנות אפליקציות זדוניות נוספות מסוג זה, אותן טרם גילה. עוד חשף אינגראו כי יוצרי הנוזקה קידמו את האפליקציות באמצעות פרסום ממומן באינסטגרם ובפייסבוק ודרך דפים ייעודיים לאפליקציות בפייסבוק, כאשר שתיים מהן קודמו באמצעות לא פחות מ-74 קמפייני פרסום ברשתות השונות. בשעה זו, מלבד כתובת C2 איתן תקשרה הנוזקה, אין בנמצא מידע על יכולותיה, אך ניתן להסיק שהיא אוספת מידע רגיש על משתמשים על סמך ההרשאות אותן היא מבקשת, למשל הרשאות לקריאת הודעות SMS. 

צוות קונפידס ממליץ להגן על מכשירים ניידים באמצעות תוכנות ייעודיות, כדוגמת Check Point Harmony, המנטרות את המכשיר, את האפליקציות המותקנות עליו ואת תנועת הרשת היוצאת והנכנסת אליו. למידע נוסף חייגו 8272*.

ChromeLoader: נוזקת Adware המותקנת כתוסף לדפדפן Chrome וחוטפת חיפושי דפדפן מהמשתמש 

התוכנה הזדונית, שהתגלתה בינואר על ידי חוקרי Unit 42 של Palo Alto, ״חוטפת״ חיפושי דפדפן של המשתמש, מציגה לו מודעות זדוניות ועלולה לאפשר הדלפת נתונים מחשבונות משתמשים ומארגונים.
לתוכנה זו קיימים ארבעה וריאנטים ל-Windows ול-macOS:
וריאנט 0: משתמש בגרסה הראשונה של התוסף הזדוני (1.0) ובקובצי הפעלה מסוג AutoHotKey. ידוע כי וריאנט זה היה פעיל כבר בדצמבר 2021.
וריאנט 1: משתמש בגרסאות 2.0-4.4 של התוסף ובקובץ ההפעלה DotNet, המפעיל PowerShell מעורפל כ-Dropper. היה פעיל בעיקר בינואר.

וריאנט 2: משתמש בגרסה 6.0 של התוסף, ובקובץ הפעלה מעורפל כ-Dropper. היה פעיל מחודש מרץ השנה.

וריאנט macOS: מתמקד במחשבי macOS (בשונה מהגרסאות האחרות) ומשתמש בגרסה 6.0 של התוסף. היה פעיל מחודש מרץ השנה.
כל אחד מהווריאנטים מכיל שלבים שונים בשרשרת ההדבקה שלו, אך כולם מתפקדים כהרחבה זדונית לדפדפן. התוסף הזדוני, המשמש כ-Adware, מציג לקורבן פרסומות ומדליף את השאילתות שביצע במנוע החיפוש בדפדפן. לדברי חוקרי Palo Alto, הנוזקה, אשר מתפתחת ומשתכללת במהירות, מופצת כאשר משתמש מתפתה להוריד טורנט או משחק באמצעות קמפיינים המפרסמים תוכן זדוני באתרים כמו טוויטר או אתרי משחקים חינמיים. במסגרת הקמפיין, המשתמש סורק קוד QR אשר מפנה אותו לאתר בו הוא מוריד את הפריטים הבאים: קובץ ISO שמכיל קובץ NET DLL. לגיטימי, החתום על ידי מיקרוסופט, תיקייה המכילה קובץ Resource המשמש את קובץ ה-NET DLL., קובץ הפעלה זדוני וקובץ טקסט שנמצא בגרסאות מתקדמות יותר של הנוזקה. רוב הקבצים שהורדו מוסתרים מהקורבן בעת פתיחת הספרייה, למעט קובץ ההפעלה הזדוני CS_installer.exe, שנותר גלוי על מנת לפתות את המשתמש להריצו, ובכך לסיים את ההתקנה. לרוב, עם לחיצת הקורבן על הקובץ יתקבל חלון חיווי שיודיע על כך שההתקנה נכשלה, כביכול, כל זאת כחלק מהטעיית הקורבן. בפועל, קובץ ההרצה הזדוני, שנכתב ב-NET., יוצר משימה מתוזמנת לביצוע סקריפט זדוני ב-PowerShell בכל 10 דקות, שישמש את התוקף להורדה והטענה של התוסף לדפדפן ה-Chrome של הקורבן. כדי לתקשר עם התוסף הזדוני, התוקפים משתמשים בשרת C2 המזרים לתוסף פרסומת שמוצגת בלשונית חדשה. התוסף מבקש הרשאות מוגברות אשר כוללות גישה לנתוני הדפדפן, תפעול בקשות אינטרנט וגישה לכל כתובת URL. זאת ועוד, התוסף מתקין מאזין המיירט לשרת ה-C2 מידע אליו יש לו גישה. ניתוח מלא של הנוזקה, לרבות IOCs, ניתן למצוא כאן.

צוות קונפידס ממליצים להימנע מהתקנת קבצים ממקורות שאינם מהימנים. לארגונים מומלץ להזין את ה-IOCs במערכות ההגנה.

Mantis: מאחורי מתקפת הבוטנט הגדולה בהיסטוריה שכללה 26 מיליון בקשות לשנייה

ביוני 2022 דיווחה חברת הסייבר Cloudflare על מתקפת מניעת השירות (DDoS) הגדולה ביותר שתועדה אי פעם, שכללה 26 מיליון בקשות לשנייה, אשר נחסמו על ידי מערכת ההגנה של החברה. מאז עוקבת Cloudflare אחר הבוטנט Mantis והתקפותיו נגד כמעט אלף מלקוחותיה. פעילותו של Mantis הינה ייחודית, בעיקר בשני מישורים: כמות הבקשות העצומה הנשלחת בשנייה ממספר לא גדול של בוטים המרכיבים את הרשת, והעובדה שמדובר בבקשות HTTPS ולא HTTP בלבד, שכן יצירת 26 מיליון בקשות HTTP הינה משימה קשה דיה גם ללא חיבור מאובטח. לעומת התקפות HTTP, התקפות HTTPS DDoS יקרות יותר במונחים של משאבי החישוב הנדרשים לאור עלותו של יצירת חיבור מאובטח, מה שמדגיש את המורכבות והחוזק הייחודיים של Mantis. מניתוח קורבנות קבוצת התקיפה ניכר שרובם (36%) משתייכים למגזר האינטרנט והתקשורת, מיד אחריהם מצויים לקוחות ממגזר החדשות והפרסום, ולאחר מכן מגזרי הגיימינג והפיננסים. ברשומת בלוג חדשה מתארת Cloudflare את שיטת הפעולה של הבוטנט, מנתחת את היעדים אליהם מכוונות התקפותיו וממליצה כיצד להתגונן מפניו באמצעות כלי ההגנה שהיא מספקת. 

מיקרוסופט חושפת מתקפת פישינג העוקפת אימות דו-שלבי לטובת מתקפות BEC; יותר מ-10,000 ארגונים נפגעו 

מתקפת הפישינג רחבת ההיקף כוונה נגד יותר מעשרת אלפים ארגונים מאז ספטמבר 2021, תוך שימוש באתרי פישינג לביצוע מתקפות (AiTM (Adversary-in-the-middle במטרה לגנוב סיסמאות, ״לחטוף״ חיבורים פעילים ולעקוף את תהליך האימות, אפילו במקרים בהם הופעל מנגנון לאימות דו-שלבי (2FA). בפרטי החיבור הגנובים השתמשו התוקפים כדי לגשת לתיבת המייל של המשתמש הנגוע ומשם הוציאו אל הפועל מתקפת (BEC (Business Email Compromise. לדברי מיקרוסופט, מתקפות פישינג הן האמצעי הנפוץ ביותר לקבלת גישה ראשונית לרשת הארגונית הנתקפת, ולמרות שאימות דו-שלבי מספק שכבת הגנה נוספת נגד גניבת פרטי זיהוי - נראה שהאקרים מצאו את הדרך לעקוף גם אותו. במתקפת AiTM התוקפים מעלים שרת Proxy בין המשתמש לבין האתר שאליו הוא מבקש לגשת, דבר המאפשר יירוט של פרטי הכניסה שלו, ביחד עם קובץ העוגייה של תהליך האימות, המכיל הוכחה לאימות הרב-שלבי שבוצע. בפרטים אלה משתמשים התוקפים על מנת להתחבר לפלטפורמה הרצויה, במקרה זה למערכת המייל. ממחקרה של מיקרוסופט עולה שבקמפיין הנוכחי נעשה שימוש ב-Evilginx2 (ערכת כלים לביצוע מתקפות פישינג) כתשתית ל-AiTM, כאשר באחד מניסיונות התקיפה שזוהו העבירו התוקפים למשתמשים רבים בארגון מייל עם קובץ HTML, בו נכתב כי לעובד ממתינה הודעה קולית. עם לחיצה על הקובץ נפתח דפדפן האינטרנט של הקורבן עם דף ובו סרגל התקדמות הורדה, שהוכנס אל עמוד ה-HTML בצורה קבועה, כך שבפועל לא הורד שום קובץ. המשתמש מופנה לדף חדש, שהינו עמוד חיבור מזויף עם כתובת המייל של הקורבן, שכבר מוזנת בשדה המתאים על מנת לשוות לעמוד החיבור מראה אמין. דף זה מייבא את מיתוג הארגון מתוך Azure AD, גם זאת ליצירת נראות אמינה, ולאחר שהקורבן מזין בו את פרטי הכניסה שלו, התוקף מושך אותם ומשתמש בהם כדי להתחבר באמצעותם בעצמו, בשמו של הקורבן.

צוות קונפידס ממליץ לארגונים להתגונן מפני המתקפה על ידי הוספת תנאי לתהליך ההתחברות למייל, למשל כתובות IP מאושרות או מכשירים מאושרים. עוד ניתן להטמיע בארגון פתרונות אנטי-פישינג מתקדמים, המנטרים וסורקים מיילים נכנסים, ולנטר באופן שוטף חיבורים חשודים ופעולות אנונימיות.

השבוע בכופרה

מיקרוסופט מקשרת בין הכופרה H0lyGh0st להאקרים צפון קוריאנים

חוקרים מה-Microsoft Threat Intelligence Center עוקבים אחר קבוצת התקיפה מקוריאה הצפונית, אותה הם מכנים DEV-0530, ואשר פעילה מזה יותר משנה. עד כה הצליחה H0lyGh0st לתקוף עסקים קטנים במדינות שונות באמצעות טכניקת סחיטה כפולה, אך טרם עלה בידה לקנות לעצמה מוניטין והצלחה כלכלית שבהן מתהדרות כנופיות כופרה אחרות. במאמר שפרסמה מיקרוסופט מפורטות טקטיקות הפעולה של הקבוצה, מוצגות ההגנות שהטמיעה החברה במוצרי האבטחה שלה בעקבות התקיפות, ומשותפות עם קהילת האבטחה תובנות בנוגע לכופרות, על מנת לסייע בהגנה על לקוחות. להערכת החוקרים, DEV-0530 מקיימת קשרים עם PLUTONIUM, קבוצה אחרת שבסיסה בקוריאה הצפונית, ואף משתמשת בכלי תקיפה שפותחו על ידי האחרונה. כמו בכל פעילות שנצפית על רקע לאומני, גם במקרה זה מיקרוסופט הודיעה ישירות ללקוחותיה שנפגעו מפעולות הקבוצה, ומספקת להם את המידע הדרוש לאבטחת חשבונותיהם. מיקרוסופט משתמשת בכינוי DEV-XXX כשם זמני שניתן לאשכול איומים לא ידוע, מתהווה או מתפתח, מה שמאפשר לחוקריה לעקוב אחריו באופן ייחודי, עד שתהיה ודאות בנוגע למקור או לזהות של הגורם העומד מאחוריו.

יצרנית חומרי הבנייה הגרמנית Knauf חוותה מתקפת כופרה

לדברי החברה, המתקפה התרחשה ב-29 ביוני בשעות הלילה, וצוותי ה-IT שלה עדיין מטפלים באירוע ועומלים על חקירתו. בהודעה שפורסמה באתר החברה, נמסר כי צוותיה מבצעים מיטיגציה של המתקפה לטובת לקוחותיה ושותפיה, ועובדים על יישום תוכנית התאוששות בטוחה מהתקרית. כחלק מניסיונותיה של Knauf לבלום את המתקפה שרתי המייל שלה כובו, אך הטלפונים הניידים וה-Microsoft Teams נותרו פעילים. חברת Knauf פועלת מכ-150 אתרים ברחבי העולם, בהם גם אתריה של Knauf Insulation and USG Corporation בארצות הברית. בתוך כך, Knauf Insulation, שהינה חברה בת של Knauf, פירסמה באתר הבית שלה הודעה אודות הפריצה, דבר המעיד על כך שאף היא נפגעה במתקפה. למרות שבהודעות מטעם החברה לא מופיעה התייחסות לסוג אירוע הסייבר שחוותה, קבוצת הכופרה Black Basta פרסמה את שמה של Knauf ב״אתר הסחיטה״ שלה, לצד 20% מהקבצים שנגנבו, לטענתה, במהלך הפריצה, בהם תכתובות מייל, פרטי התחברות של משתמשים, מסמכי ייצור ופרטי קשר של עובדים. נראה שקבוצת הכופרה מקווה לנהל משא ומתן על תשלום כופר, ולכן לא פרסמה את כל הקבצים שנגנבו.

חברת אבטחת המידע Kaspersky מצאה משפחה חדשה של כופרות הכתובות בשפת Rust

Luna, המשפחה החדשה שהתגלתה, הינה חוצת פלטפורמות ומסוגלת לרוץ על מערכות מבוססות Windows ,Linux ו-VMware ESXi. כופרות Luna, העושות שימוש בהצפנות Curve 25519 ו-AES, כתובות בשפת הקוד Rust וביכולתן להצפין נתונים ממערכות שאינן בהכרח מבוססות Windows, כל זאת בדומה לכופרה Black Basta, שהתגלתה לראשונה בפברוא  ותכונתה הבולטת ביותר הינה יכולת התחמקות מזיהוי על ידי אמצעי אבטחה, כל זאת באמצעות אתחול המערכת במצב בטוח טרם ביצוע ההצפנה, מצב רוב אמצעי האבטחה אינם פעילים. על פי חוקרי Kaspersky, העומדים מאחורי קבוצת התקיפה Luna הם ככל הנראה דוברי רוסית.

צוות קונפידס ממליץ על ביצוע הפעולות הבאות, על מנת להימנע ככל הניתן מליפול קורבן לכופרות Luna:

1. לא למסור כתובות מייל למקורות שאינם ידועים.

2. לבצע גיבויים למערכות ולמידע קריטי המצוי בארגון, ולהקפיד על בדיקת אמינות הגיבויים מדי תקופה קצובה.

3. לא להוריד קבצים ממקורות שאינם ידועים.

4. להתקין מערכת אנטי-וירוס/EDR על כל נקודות הקצה ושרתי הארגון, ולעדכנה על בסיס קבוע.

5. לא להכניס קבצים אל מערכות הארגון לפני בדיקתם במערכת מבודדת.

המלחמה במזרח אירופה

 
 

קבוצת תקיפה המזוהה עם ה-FSB הרוסי מפיצה אפליקציה המתחזה לכזו שפיתח גדוד אזוב האוקראיני למטרת סיוע לאוקראינה בתקיפות סייבר נגד רוסיה - אך בפועל מדביקה בנוזקה

TAG, חטיבת ניתוח האיומים של Google, חשפה כי קבוצת התקיפה Turla, המזוהה עם ה-FSB (שירות הביטחון הפדרלי הרוסי), מפיצה את CyberAzov, אפליקציה המתחזה לכזו שפותחה על ידי כוח Azov האוקראיני המפורסם. יצויין כי זוהי הפעם המתועדת הראשונה בה Turla מפיצה נוזקה ל-Android. באתר ייחודי שהוקם עבור האפליקציה, שהינו המקור היחיד להורדת היישומון, נטען כי התקנת CyberAzov על המכשיר תאפשר למשתמש לעזור לצד האוקראיני בלחימה באמצעות תקיפת רשימת אתרים רוסים במתקפות מניעת שירות (DoS). בפועל, ״מתקפות ה-DoS״ הן בקשת GET יחידה הנשלחת אל האתרים, אשר אין בכוחה להסב כל זנק. ככל הנראה, האפליקציה משמשת למעקב אחר המשתמשים שמתקינים אותה ולהפצת נוזקות על מכשיריהם. לדברי ה-TAG, קישורים להורדת האפליקציה הופצו באמצעות אפליקציות של מסרים מידיים, ונראה כי מספר ההורדות שלה הוא מזערי ועל כן גם היא לא גרמה לנזק משמעותי. ייתכן שהרעיון העומד מאחורי הנוזקה מקורו באפליקציה הלגיטימית StopWar שפותחה על ידי האוקראינים, ואשר שולחת בקשות לאתרים רוסים מתוך כוונה לחבל בהם. כאשר רבים משתמשים ב-StopWar בו-זמנית, היא אכן עלולה להקריס את האתרים והשירותים שהיא תוקפת. את ה-IOCs של CyberAzov ניתן למצוא בדוח המלא של ה-TAG. 

סייבר בישראל

 
 

בעקבות מתקפת סייבר של הקבוצה האיראנית ALtahrea נמנעה גישה מחו״ל לאתר משרד הבריאות; ישראלים רבים לא הורשו לעלות לטיסות

על מנת לעצור את המתקפה, שככל הנראה היתה מתקפת מניעת שירות (DDoS) שמקורה בחו״ל, התגלע הצורך בחסימת הגישה לאתר לגולשים מחוץ למדינת ישראל, מה שהוביל לחסימת פניות לגיטימיות של ישראלים השוהים בחו״ל. אי לכך, ישראלים רבים לא הצליחו למלא "טופס כניסה לישראל", ולמרות שחברות התעופה הונחו לאפשר לטסים לארץ לעלות על טיסות מבלי להציג את הטופס, אל חלקן ההודעה הגיעה באיחור, ונרשמו מקרים רבים בהם ישראלים לא הורשו לעלות לטיסותיהם. על המתקפה לקחה אחריות קבוצת התקיפה האיראנית ALtahrea באמצעות הודעה שפרסמה בערוץ הטלגרם שלה. קבוצה זו אחראית, בין היתר, על שורה של מתקפות נגד אתרים ישראליים בשבועות האחרונים, בהם אתר עיריית תל אביב ואתריהן של רשות שדות התעופה ודואר ישראל. 

שר התקשורת מכנס את ההנהלה הבכירה של כלל חברות התקשורת במשק הישראלי בניסיון לרתום אותן למאמץ הגנת הסייבר הלאומי

בכנס שנערך במרכז השליטה והבקרה של מערך הסייבר הלאומי בבאר שבע, אמר שר התקשורת יועז הנדל כי חברות התקשורת הן הצינור שדרכו עוברות מתקפות הסייבר, ושעם עליית מספר התקיפות - על ישראל להיערך בהתאם ולייצר ״כיפת ברזל״ במרחב הסייבר. לדבריו, בתחום אחריותו של משרד התקשורת לזהות ולעצור את המתקפות, כאשר חברות התקשורת הן גם המפתח להגנה וגם נקודת התורפה של המשק. במעמד הכנס נאם גם ראש מערך הסייבר גבי פורטנוי, שאמר כי שותפות בין המערך לבין חברות התקשורת הינה רכיב משמעותי ביכולת ההגנה של מדינת ישראל.​

סייבר בעולם

 

ארה״ב ממשיכה לפעול לחיזוק הגנת הסייבר הלאומית ומקימה את ״מועצת סקירת בטיחות הסייבר״, שמפרסמת מסמך מפורט על Log4j

בהמשך לפרסומים על מאמציו של נשיא ארצות הברית ג׳ו ביידן לשיפור אבטחת הסייבר במדינתו, הוצא כעת צו ביצוע שמסגרתו הוקמה המועצה, אשר תפקידה לסקור אירועי סייבר גדולים, להמליץ על דרכים לשיפור אבטחת המידע במגזר הפרטי והציבורי ולהפיק לקחים מתקיפות שונות, תוך שיתופם עם הגורמים הרלוונטיים שיאפשרו את המשך שיפור אבטחת המידע הלאומית. המועצה הוקמה בשיתוף פעולה בין המגזר הממשלתי והפרטי בתחום הסייבר, על מנת להבטיח שההמלצות שיינתנו אכן יטופלו וייושמו בהתאם בארגונים השונים. מסמך שפרסמה המועצה בימים האחרונים כולל דוח מקיף על החולשה Log4j (ראו ״הסייבר״, 16.12.21), שזוהתה לראשונה בדצמבר 2021, לרבות מידע מלא אודות חשיפת החולשה, הדרכים בהן נוצלה על ידי תוקפים, ממצאי חקירות פורנזיות של תקיפת ארגונים באמצעותה, השפעתה על פעילותם של ארגונים והמלצות התגוננות מפניה. 

הממצאים העיקריים העולים מהדוח מראים כי המועצה מצאה שמפתחי תוכנה, מתחזקי תוכנה, צוותי תגובה למתקפות סייבר וממשלת ארצות הברית ביצעו פשרות בנוגע ליחסם לסיכונים הנובעים בשימוש ובאינטגרציה של תוכנות המצויות בשוק. למשל, הם החליטו להשתמש בספריית Log4j במקום לפתח הארגון עצמו Framework חדש ״מאפס״. אירועי ה-Log4j המחישו את הפערים הקיימים באימוץ שיטות תגובה לחולשות, ובעולם הסייבר ככלל, ואשר מדגישים את האתגרים שבהעלאת המודעות של עובדי ארגונים לסיכונים במרחב, בתיאום בין מקורות מידע מהימנים וסמכותיים, בהערכת גודל הסיכון הנובע מחולשות ובסנכרון בין הבנת האיומים לבין פעולה הגנתית הולמת.

את הדוח המלא ניתן למצוא כאן.

קבוצת ההאקרים Labdookhtegan חשפה את זהותם של האקרים הפועלים עבור משמרות המהפכה האיסלאמית

בעקבות חשיפתו של החוקר בוב דיאצ׳נקו אודות פעילות סייבר זדונית המכונה SecNerd, שמטרתה לפרוץ למטרות איראניות, החלה קבוצת ההאקרים Labdookhtegan לחקור את אותה פעילות. בדוח חדש שפרסמה היא חושפת, לכאורה, את זהותם של מספר עובדים של חיל הסייבר וארגון המודיעין של איראן, לצד תמונות ושמות של כמה מהם. לדברי Labdookhtegan, מדובר בעובדים של החברות כיסוי Naji ו-Afkar, וראשי הארגונים הללו עובדים עם ארגון הביון של הממשל האיראני. בדוח, שחלקו נשלח לממשלת איראן, נטען שאנשים אלה ניצלו פירצות אבטחה בארגונים באירופה ובארצות הברית לשם סחיטת כספים, וביצעו פעולות סחיטה גם בתוך איראן על ידי גניבת מידע של אזרחים, כל זאת תחת השמות COBALT MIRAGE ,Charming Kitten ,Nemesis Kitten ,Phosphorus ו-TunnelVision. עוד נטען כי הם משתמשים בפרצות Zero-day כמו Log4j ו-ProxyShell, בחולשות במכשירי Fortinet ובתוכנות כופרה כמו BitLocker להצפנת מחשבי הקורבנות ודרישת דמי כופר.
לדברי הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA), בשנה שעברה קבוצות האקרים של משמרות המהפכה השתמשו בחולשות בתוכנות Microsoft Exchange ו-Frontier כדי לחדור לרשתותיו של ה-Boston Children's Hospital שבארצות הברית ולבצע מתקפת כופרה שאליה התייחס ראש ה-FBI כריסטופר ריי כ״נתעבת״. על פי המקור האיראני, שיטות הפעולה של ​​האקרים המזוהים עם משמרות המהפכה דומות לאלה של האקרים המזוהים עם קוריאה הצפונית, ושני ה״מחנות״ מתחרים ביניהם על סחיטת ארגונים מערביים. בתוך כך, קבוצת Labdokhtegan הכריזה כי היא מתנגדת למשמרות המהפכה וכי תמשיך לפעול לחשיפת את פעילויות הסייבר הזדוניות המתבצעות בחסותן ומציינים. שר הביטחון בני גנץ התייחס ליחידת ההאקרים של משמרות המהפכה באמרו כי "פעולות כמו זו של יחידת 'שאהיד כאווה', שאספה מידע על ספינות, תחנות דלק ומפעלי תעשייה במספר מדינות, נעשו תחת הכוונה ישירה של ההנהגה האיראנית ומשמרות המהפכה, כפי שנחשף בתחקירים". עוד רמז גנץ שישראל עשויה להגיב פיזית לפעולות ההאקרים של משמרות המהפכה. 

ממשלת אלבניה השביתה את מערכותיה עקב מתקפת סייבר

הסוכנות הלאומית לחברת מידע (AKSHI) של אלבניה הצהירה כי ״סגרה באופן זמני את הגישה לשירותים ציבוריים אונליין ולאתרים ממשלתיים נוספים״ בשל מה שכינתה ״מתקפת סייבר מתוחכמת [שמקורה] מחוץ לאלבניה״. בשעה זו לא ידוע מהו מקור התקיפה, אך בחודש מאי האחרון המדינה העבירה את מרבית שירותיה לרשת האינטרנט. לדברי ה-AKSHI, על מנת להכיל את האירוע היה עליה להשבית את המערכות הממשלתיות, והיא עובדת בשיתוף עם חברת מיקרוסופט וחברות סייבר כדי למנוע פגיעה בתשתיות האלבניות. על פי נתונים שפורסמו בעמוד הטוויטר של NetBlocks, נראה שהשירותים הושבתו לראשונה ביום שבת האחרון, בסביבות השעה 21:00. נכון לכתיבת שורות אלה, השירותים עדיין אינם פעילים.

סין מאשימה את קבוצת ה-APT ההודית Confucius בתקיפת יעדים ממשלתיים בפקיסטן 

קבוצת התקיפה, שבסיסה בהודו, החלה לפעול ב-2013 הן ממניעים פוליטיים והן למטרות רווח, ועיקר יעדיה הם גופי ממשל, צבא ואנרגיה במדינות כמו פקיסטן וסין, ובמדינות נוספות בדרום אסיה. הקבוצה משתמשת בשיטות של הנדסה חברתית על מנת לגנוב מידע רגיש, כאשר לדברי חברת האבטחה הסינית Antiy CERT, העוקבת אחר פעילות הקבוצה מ-2021, Confucius ביצעה מספר מתקפות נגד ממשלת וצבא פקיסטן החל מהמחצית השנייה של 2021. באחד מהאירועים, התוקפים התחזו לעובדי ממשל פקיסטנים באמצעות מייל Spoofing שהכיל צרופה עם קוד מאקרו זדוני, ובתקיפות אחרות היא ביצעה Spear Phishing (פישינג ממוקד) באמצעות מיילים שהכילו קובצי RTF ,PDF ומאקרו זדוניים או קישורים שהפנו לאתרים שהתחזו לאתרי ממשל. באתרים פותו הקורבנות להוריד קובץ זדוני שהכיל תכנים הקשורים לצבא וממשלת פקיסטן ועסקו בביצוע וניהול פיגועים בשנים 2021-2022.

לאחר פתיחת קובץ האקסל, הוורד או ה-PDF הזדוני שמריץ את המאקרו, המתקפה מתבצעת ב-4 שלבים: 1. הורדת ה-ASCII Downloader Trojan משרת התוקפים, ואז העברת המאקרו לקובץ בינארי על ידי הטרויאני והרצתו. 2. יצירת משימה מתוזמנת בשם YunoHonow שתשמש את כלי ה-PowerShell לטעינה וביצוע השלב השלישי כל 20 דקות. 3. ה-Stealing Trojan  מורד ונטען לתוך הזיכרון לצורך הרצה. במקביל, על מנת לוודא את הצלחתו של השלב הרביעי, התוקפים משתמשים גם בקישור חלופי להורדה. 4. הטרויאני מתחיל לגנוב קבצים מהדרייברים של הקורבן, כאשר על מנת להימנע מהעלאות כפולות של קבצים גנובים לשרת ה-C2 של התוקפים, הוא מחזיר את ערך ה-MD5 של הקובץ בזמן העלאתו לשרת ומתחזק את הערכים בטבלה.
עוד השתמשו התוקפים בשירות האצת CDN של Cloudflare על מנת לטשטש מיקומים גיאוגרפיים וכתובות IP ולשנות את חותמת הזמן של מטענים זדוניים, דבר המקשה על חוקרי אבטחת מידע לעקוב ולנתח את פעילותם. דבר נוסף שגילו חוקרי Antiy הוא ש-Confucius חולקת כלי תקיפה עם קבוצות APT הודיות אחרות, כמו SideWinder. המועצה הלאומית הפקיסטנית לאבטחת טכנולוגיות מידע (NTISB) הוציאה אזהרה מפני הקבוצה וקראה לגורמים רשמיים ולציבור שלא לשתף מידע עם גורמים חשודים ולגלות ערנות לניסיונות פישינג המגיעים מפלטפורמות מדיה חברתית או במייל. לניתוח המלא באתר Antiy CERT לחצו כאן (בשפה הסינית).

משרד החוץ הבלגי מאשים את סין במתקפת סייבר נגד ארגונים ממשלתיים

על פי דיווחו של משרד החוץ, מספר קבוצות APT סיניות תקפו את משרד הביטחון הבלגי ומשרדים פנימיים נוספים במדינה. לדברי שר החוץ, פעולות סייבר מסוג זה פוגעות משמעותית בדמוקרטיה, בריבונות ובביטחון המדינה. בשעה זו, הממשלה הבלגית מעריכה כי מדובר בקבוצות ה-APT הסיניות המכונות APT30 ,APT27 ,APT31 ו-GALLIUM. בתוך כך, השגרירות הסינית בבלגיה מכחישה כל קשר של סין למתקפות, טוענת כי אין הוכחות או עדויות התומכות בדברי משרד החוץ ומגנה את הממשלה הבלגית על פרסום האשמות שאינן מבוססות.

הסוכנות הדנית להגנת מידע אוסרת על משרדי ממשל להשתמש בשירותי Google SaaS עקב הפרה אפשרית של אסדרת ה-GDPR

האיסור חל, בין היתר, על מכשור מסוג Chromebook, והוא רלוונטי למשרדי ממשלה ולמוסדות ממלכתיים, עקב הפרה אפשרית של חוקי ה-GDPR (הרגולציה האירופית הכלית להגנה על מידע) על ידי Google, המשתפת את האתר האמריקאי בעיבוד של מידע מתוך מוסדות ממשל אירופים, ובכך חורגת מהתקן. סוגייה זו עלתה עוד ב-2019, כאשר הורה מודאג דיווח שבנו פתח חשבון ב-YouTube בשמו באמצעות מכשיר Chromebook השייך לבית הספר, דבר אשר על פי עיריית מקום מגוריהם נתפס כהפרה של של חוקי הגנת המידע האירופים. במקרה אחר, שאירע בספטמבר 2021 בתחומי עיריית אלסינור, התבקשה העיריה לבצע סקר הערכת סיכונים בנוגע לפלטפורמות ה-Google Workspace וה-Chromebooks, ממנו עלה שקיים סיכון ש-Google או צד שלישי אחר ישתמשו במידע אישי של מורים ותלמידים למטרות שיווק (כתובות IP ומידע כללי אחר הרלוונטי למטרות אלה), אשר העיריה - שמבחינת ה-GDPR מהווה גוף המעבד מידע - אינה מעוניינת בעיבודו. על בסיס תוצאות הסקר הוחלט כי שירותי ה-SaaS מפרים את חוקי ה-GDPR. בהתאם לאיסור החדש של הסוכנות הדנית להגנת מידע, החל מה-3.8.22 עיריות ומוסדות ממלכתיים אחרים לא יוכלו להשתמש בשירותי Google לאחסון ותפעול מידע, עד לפתרון הסוגייה. 

סייבר ופרטיות - רגולציה ותקינה

 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.