15.7.2022-21.7.2022

עדכוני אבטחה למוצרי Juniper Networks נותנים מענה ל-76 חולשות קריטיות

העדכון שפרסמה חברת התקשורת ב-13 ביולי, רלוונטי, בין היתר, למוצרים Junos Space ,Junos OS Evolved ,Contrail Networking ו-Northstar Controller וסוגר חולשות קריטיות העלולות לאפשר לתוקף לבצע מגוון פעולות זדוניות, בהן הרצת קוד מרחוק (RCE), מתקפת מניעת שירות (DDoS), העלאת הרשאות, גישה לא מורשית לתוכן (Out-of-bounds Read) ומתקפות נוספות.
צוות קונפידס ממליץ לבעלי מוצרים של Junifer Networks לעיין בידיעון האבטחה שפרסמה החברה, לבדוק אם קיימות חולשות במוצרים שברשותם ולפעול בהתאם להוראות היצרן לעדכון המוצרים או לביצוע פעולות אחרות למיגור החולשות.
 

עדכון אבטחה למוצר Netwrix Auditor נותן מענה לחולשה קריטי

העדכון שפרסמה חברת Netwrix למוצר ב-13 ביולי, מאפשר לארגונים לקבל ״תמונה״ שלמה של פריסת תשתיות ה-IT שלהם ולבצע ניתוח לצרכי שיפור ובקרה. המוצר פועל בסביבות שונות, בהן Active Directory, Exchange, File servers, SharePoint, VMware ועוד. החולשה, שנמצאה במוצר בכל הגרסאות הקודמות ל-Netwrix Auditor 10.5, עלולה לאפשר לתוקף להריץ פקודות זדוניות בהרשאות גבוהות. מאחר והמוצר נמצא בסביבת ה-Active Directory, לרוב עם הרשאות גבוהות, ייתכן שתוקף אשר ישיג שליטה ב-Netwrix Auditor יוכל לפעול גם מול ה-Active Directory.

צוות קונפידס ממליץ לארגונים המשתמשים במוצר לעדכנו באופן מיידי לגרסתו האחרונה, Netwrix Auditor 10.5.
 

עדכוני אבטחה למוצרי Apple נותנים מענה ל-39 חולשות

העדכונים, שפורסמו ב-20 ביולי, רלוונטיים למוצרים iPhone, Apple Watch, macOS, Apple TV ,iPad ו-iPod וסוגרים חולשות שניצולן עלול לאפשר לתוקף להעלות הרשאות ולהריץ פקודות זדוניות במכשיר הקורבן, לשים את ידיו על מידע רגיש ואף להשבית מכשירים פגיעים. למשל, החולשה (CVE-2022-32832) במערכת הקבצים של Apple מתירה לאפליקציה בעלת הרשאות גבוהות לבצע פקודות זדוניות במכשיר הקורבן.

צוות קונפידס ממליץ למשתמשים במוצרי Apple לעדכנם לגרסאותיהם האחרונות.

​

עדכון אבטחה לשרת ה-vCenter של VMware נותן מענה לחולשה ברמת חומרה גבוה

החולשה (CVE-2021-22048, CVSS 7.1), שהתגלתה בנובמבר האחרון במנגנון האימות של Windows בשרת ה-vCenter, רלוונטית למוצרים VMware vCenter Server ו-VMware Cloud Foundation ועלולה לאפשר לתוקף ללא הרשאות אדמין לבצע העלאת הרשאות. נכון לשעה זו החברה הוציאה תיקון רק לגרסה vCenter Server 7.0, והיא מציעה לעקוף את החולשה על ידי מעבר לאימות AD במקום LDAPS או Identity Provider Federation ל-(AD FS (vSphere 7.0. הנחיות לביצוע המעקף עבור המוצרים הפגיעים ומידע נוסף מצויים כאן.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות, לעקוב אחר פרסום עדכונים עבור הגרסאות שטרם שוחרר להן עדכון וליישם את הדרכים לעקיפת החולשה על מנת להתגונן בפניה.

​

ה-CISA ומשמר החופים האמריקאי מתריעים מפני ניסיונות APT לנצל את החולשה הקריטית Log4Shell

החולשה הקריטית (CVE-2021-44228, CVSS 10), שהתגלתה בסוף 2021 בספרייה הנפוצה במערכות רבות, קיבלה את ציון החומרה הגבוה ביותר עקב תפוצתה הרחבה, היותה פשוטה לניצול ויכולתה להסב נזק רב. השבוע פורסמה התרעה נוספת בדבר קבוצות תקיפה, חלקן בחסות מדינתית, המנסות לנצל את החולשה במערכות שונות, תוך התמקדות בשרתי VMware Horizon ו-(Unified Access Gateway (UAG שלא עודכנו לגרסאות בהן היא נסגרת.  לצד ההתרעה, ה-CISA מצרפת פירוט טכני על שתי תקיפות שניצלו את החולשה במערכותיהם של שני קורבנות שזהותם נותרה חסויה. הקורבן השני המצוין בהודעה הותקף במקביל על ידי כמה קבוצות שניצלו את החולשה, באירוע שהתרחש במאי, כחצי שנה לאחר פרסום החולשה הקריטית, שלא קיבלה מענה במערכות הקורבן.

צוות קונפידס ממליץ לארגונים המשתמשים במערכות הפגיעות לחולשה לעדכנן לגרסאותיהן האחרונות ולהזין את מזהי התקיפה (IOCs) במערכות הניטור של הארגון.

​

6 חולשות, בהן 2 קריטיות, נמצאו ב-MV720 GPS Tracker של MiCODUS המשמש למעקב אחרי רכבים; טרם פורסם עדכון אבטחה לסגירתן

החולשות במוצר של החברה הסינית, עליהן דיווחה ב-19 ביולי חברת BitSight, עלולות לאפשר לתוקף לחדור לשרתי ארגונים תוך התחזות לאחד המשתמשים, כל זאת ללא צורך באימות נוסף, ולבצע מספר פעולות זדוניות על מכשיר הקורבן, ממעקב בזמן אמת אחר משתמשים ללא ידיעתם ועד להשבתה מלאה של כלי רכב בזמן נסיעה. נכון להיום, כ-1.5 מיליון מכשירים מסוג זה מותקנים ב-169 מדינות, ברכבים פרטיים ובכאלה השייכים למוסדות ממשל וצבא, לחברות גז ונפט, לתחנות כוח גרעיניות ועוד. עד לכתיבת שורות אלה, טרם התקבלה תגובתה של MiCODUS לממצאים. באירופה, כמות המכשירים הרבה ביותר מן הדגם האמור מצויה באוקראינה. להלן מפת פיזור משתמשי המוצר ברחבי העולם.

צוות קונפידס ממליץ למשתמשי המוצר לפעול לניתוקו המיידי מרכביהם, עד למיגור החולשות.

​

​

​

​

​

​

​

​

​

​

​

                                                                   (מקור: BitSight, 19.7.22)

עדכון האבטחה הרבעוני של Oracle נותן מענה ל-349 חולשות, בהן קריטיות, שנמצאו בקוד וברכיבי צד שלישי המהווים חלק ממערכותיה

בדוח העדכון הרבעוני למוצרי החברה שפורסם באתרה מופיעים עדכונים ל-138 מוצרים, הסוגרים, בין היתר, 58 חולשות בדירוג CVSS של 9.8 ומעלה. החולשות עלולות לאפשר לתוקף להריץ קוד מרחוק, להשתלט על שרתים ולהתחבר מרחוק למכשירים ללא צורך בהזדהות.

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.

​

עדכון אבטחה ל-Google Chrome נותן מענה ל-6 חולשות, 5 מהן ברמת חומרה גבוהה 

גרסה 103.0.5060.134 של Stable Channel for Desktop רלוונטית למערכת ההפעלה Windows וסוגרת בעיקר חולשות מסוג Use-After-Free, שמקורן בניהול שגוי של הקצאתזיכרון במערכת. העדכון עבור מערכות ההפעלה Linux ו-Mac יפורסם בקרוב.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.

​

עדכוני אבטחה למוצרי Cisco נותנים מענה ל-45 חולשות, 5 מהן קריטיות

3 מהחולשות הקריטיות (CVE-2022-20857, CVE-2022-20858, CVE-2022-20858), המצויות ב-Nexus Dashboard, עלולות לאפשר לתוקף להשיג גישה בלתי מורשית לממשק הניהול ולפעולות פריבילגיות. 2 חולשות קריטיות אחרות (CVE-2022-20812, CVE-2022-20813), המצויות ב-Expressway Series, עלולות לאפשר לתוקף לשכתב קובצי מערכת בהרשאות גבוהות ובכך להריץ קוד שרירותי על עמדות שאינן מעודכנות.

צוות קונפידס ממליץ למשתמשים במוצרי Cisco לעדכנם לגרסאותיהם האחרונות ולעקוב אחר הוראות היצרן למיגור החולשות.

התקפות ואיומים

Sality: נוזקה חדשה המשמשת לגניבת סיסמאות ולכריית מטבעות קריפטוגרפיים תוקפת מערכות תעשייתיות

ממחקר שפרסמה חברת אבטחת המידע Dragos עולה כי על כוונת הנוזקה Sality מצויים PLCs (בקרים תעשייתיים שהותאמו לשליטה בפסי ייצור, במכונות ובמכשירים רובוטיים) ו-HMIs (חומרות או תוכנות שדרכן מתקיימת אינטראקציה עם בקרים). Sality הינה בוטנט אשר על פי חוקרי Dragos מרבה לנצל חשבונות במדיות חברתיות להצעת שחזור, לכאורה, של סיסמאות שנשכחו באמצעות קובץ הפעלה. במידה שלמשתמש שהוריד את קובץ ההפעלה יש חיבור ממחשב Windows למחשב PLC ויציאה מפורט COM, הנוזקה מפצחת, כביכול, את הסיסמה ומנצלת את Autorun של Windows להפצת עותקים של עצמה דרך חיבורי USB ושיתופים ברשת. חוקרי Dragos גילו שהנוזקה אינה באמת מפצחת את הסיסמה אלא גונבת אותה תוך ניצול חולשה (CVE-2022-2003, CVSS 7.7) בקושחה DirectLogic 06 PLC של AutomationDirect, שבנוגע אליה התריעה הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA). 

ניצול החולשה עלול לאפשר לתוקף לבצע שינויים לא מורשים, ובמקרה הספציפי להנדס הודעה ל-CPU שתגרום ל-PLC להגיב להודעה עם סיסמת ה-PLC. על מנת להתחמק מגילוי, Sality מחבלת במנהל ההתקנים שבליבת המערכת של המחשב, מתחילה בזיהוי מוצרי אבטחה, כמו מערכות אנטי-וירוס או חומות אש, ומפסיקה אותם. על פי דיווחים שונים באינטרנט, Sality מסוגלת לסנן IPs וכתובות URL הקשורות לאנטי-וירוסים, וכך מפילה את כל חבילות הרשת היוצאות (פאקטות) המכילות מילות מפתח ספציפיות שקשורות למוצרי אבטחה אלו, דבר המונע ממוצרי האבטחה לקבל עדכונים הרלוונטיים להם. לדברי החוקרים, AutomationDirect אינו הספק היחיד שעל הכוונת של Sality, אשר תוקפת גם ספקי PLC ו-HMI אחרים, כגון OMRON ,Siemens ו-Fuji Electric. החוקרים ממליצים שלא להוריד תוכנות לפיצוח סיסמאות ממקורות שאינם ידועים.

​

חדירה לארגונים דרך שרתי VoIP מסוג Digium

Unit 42, יחידת המחקר של חברת Palo Alto, חושפת קמפיין תקיפות נגד שרתי VoIP (או Voice over IP , פרוטוקול המשמש לשיחות באמצעות טלפונים או מכשירים המחוברים לאינטרנט), שמתמקד במערכת Elastix, המכילה את המודול FreePBX שכתוב ב-PHP. במערכת Elastix, בה נעשה שימוש בטלפונים מתוצרת Digium, התוקפים מנצלים את החולשה CVE-2021-45461 להכנסת Web shell לשרתי VoIP, ובאמצעותו מריצים פקודות מרחוק ומשמרים אחיזה בשרתים. מדצמבר 2021 זיהה צוות החוקרים כ-500 אלף וריאנטים של נוזקות מסוג זה, המתקינות Web shells עם שכבות מרובות שעברו ערפול (Obfuscations) במערכות ההפעלה של שרתים ואוחזות בהם. מהלך המתקפה: הזרקת Dropper שמבצע לעצמו Spoofing בנוגע לזמן יצירת הקובץ, כך שיהיה זהה לזמן יצירה של קובץ קיים על מנת להיטמע במערכת ההפעלה, כאשר במקביל מתבצעת התקנה של ה-Web shell, שהינו קוד PHP מעורפל שמכיל מחרוזות ״זבל״, אשר נועדו לשנות את הערך החד-ערכי של הקובץ (SHA-1 ,SHA-256 וכן הלאה) כדי למנוע ממנועי אנטי-וירוס מלזהות את הסמפלים של הווירוסים. לאחר מכן ה-Web shell דורש אימות מול משתמש המנסה להתחבר אליו עם מחרוזת MD5 הייחודית לאותו Web shell. זאת ועוד, המשתמש יכול להוסיף פרמטר Admin ולהזין בו את סוג הסשן שהוא יוצר מול המערכת (Elastix או FreePBX). נוסף על אלה, הנוזקה מזריקה למערכת קובץ הגדרות שמחליף את הקובץ htaccess., במטרה לשנות את הקונפיגורציה באופן שיהפוך את דף ה-config.php לכזה שיהיה ניתן לגשת אליו בקלות. לאחר מכן הנוזקה יוצרת משתמשים עם הרשאות Root ואחיזה הן באמצעות קוד מעורפל נוסף, שתפקידו ליצור בשרת שני חשבונות עם הרשאות Root, והן באמצעות משימות מתוזמנות להדבקה מחודשת של השרת.

צוות קונפידס ממליץ למשתמשים בטלפונים מסוג Digium לעדכן את מערכותיהם לגרסתן האחרונה ולהזין בחומות האש את ה-IOCs המצויים כאן. זאת ועוד, התקנת EDR על השרתים יגדיל משמעותית זיהוי של תהליכים חשודים הקשורים להתקפה. לבסוף, כלי שיבצע URL Filtering יוכל לסייע במניעת תקשורת של התוקף עם ה-Web shell.

​

עלייה בכמות התקיפות נגד התוסף WPBakery של WordPress

צוות חוקרים מחברת Wordfence זיהה לאחרונה עלייה בכמות התקיפות המתמקדות בתוסף, המשמש בוני אתרים לבניית עיצוב לאתרים באמצעות גרירה והצבת אובייקטים, ללא צורך בידע בתכנות. הקמפיין שנצפה על ידי החוקרים מתבסס על ניצול חולשה קריטית (CVE-2021-24284, CVSS 9.8) בתוסף, המאפשרת העלאת קבצים ללא הרשאות על ידי שימוש בפונקציית ה-AJAX המכונה uploadFontIcon, שפותחת את קובץ ה-ZIP המצורף לתיקייה wp-content/uploads/kaswara/fonts_icon ללא בדיקת הקובץ המועלה. דבר זה עלול להקנות לתוקף שליטה מלאה על האתר. מכיוון שהתוסף נסגר ואין עבורו שירות, החולשה מצויה בכל גרסאותיו. צוות החוקרים של Wordfence חסם בממוצע 443,868 תקיפות על התוסף ביום ב-1,599,852 כתובות שונות, כאשר במרבית התקיפות נצפתה בקשת POST לכתובת wp-admin/admin-ajax.php/ לשם שימוש בפונקציה uploadFontIcon להעלאת קובץ לתוסף. עוד נצפו 10,215 כתובות IP ששימשו לתקיפה. לדברי החוקרים, רוב התקיפות כללו ניסיון להעלות לאתר קובץ ZIP בשם a57bze8931.zip המכיל קובץ PHP יחיד - a57bze8931.php. קובץ זה הינו כלי להעלאת קבצים המצוי בשליטת התוקף, ומאפשר לו להמשיך ולהעלות קבצים לאתר עד להשתלטות מלאה עליו. מזהים נוספים של התקיפה (IOCs): xxx]_young.zip ,inject.zip ,king_zip.zip ,null.zip ,plugin.zip]

WordPress ממליצה להימנע משימוש בתוסף. גופים העושים בו שימוש יכולים לבדוק אם נפרצו בעזרת המזהים המופיעים בהתרעה.

​

תרמית פישינג חדשה ״הולכת על כל הקופה״: ניצול אתרים מבוססי WordPress להתחזות ל-PayPal ולבקשת פרטי בנק וצילומי פנים; 52 מיליון דולר נגנבו מ-42 מיליון קורבנות

בדוח שפרסמה חברת Akamai מוצגת תרמית פישינג ברמה שטרם נצפתה בעבר, ואשר במסגרתה מנסים תוקפים ליצור תחושת לגיטימיות בקרב הקורבן על ידי הצגת מבחן CAPTCHA סטנדרטי, בו הוא מתבקש להקליד ספרות מתוך תמונה. לאחר הקלדת הספרות ובדיקת תקינותן, הקורבן מופנה לשלבים שכיחים יותר המופיעים בעמודי פישינג, לרבות בקשה להזנת כתובת מייל וסיסמה. לאחר מכן מוצגת בעמוד הודעה לפיה זוהתה בחשבון המשתמש פעילות חשודה, והוא מתבקש לספק פרטים נוספים בדמותם של פרטי כרטיס אשראי וכתובתו המלא. לאחר מכן הקורבן מתבקש להזין את קוד הכספומט של הכרטיס ואת שם אמו, ובשלב הסופי של התרמית אף לאמת את זהותו באמצעות העלאת מסמך אחד מתוך שלושה לבחירתו - דרכון, תעודת זהות או רישיון נהיגה. 

מלבד העומק והמורכבות של התרמית בעת גניבת המידע, יוצריה נקטו בכמה צעדים להבטחת נראות לגיטימית של האתר בעיניי המשתמש וסורקי אתרים חשודים, כאשר המערכת בה הם משתמשים מבצעת מתקפות Brute-force על עמודי WordPress לגיטימיים, ולאחר שהיא נוחלת הצלחה היא מעלה אל האתר את ה-Phishing kit ו״מתיישבת״ על עמודים שהיו לגיטמיים, על מנת לחמוק ממנועי זיהוי ומסורקי אבטחה. טכניקה נוספת בה משתמשת המערכת כדי להימנע מגילוי היא בדיקת כתובת ה-IP הניגשת אל עמוד, על מנת לוודא שאינה מגיעה מרשימת כתובות המזוהות עם חברות אבטחה כמו Sophos או VirusTotal, ושאינה כתובת שזוהתה כזדונית על ידי מנועי סריקה. ככל הנראה, מתקפות הפישינג עולות מדרגה ומתחילות לשלב ״מנגנוני אבטחה" מזויפים כדי לזכות באמון הקורבן.

צוות קונפידס ממליץ לגלות ערנות בעת התחברות לשירותים פיננסיים קריטיים מוכרים, כגון PayPal, ולשים לב למנגנונים יוצאי דופן, למשל בקשת קוד כספומט או היעדר אימות דו-שלבי (2FA).

​

נוזקה שהתחזתה לאפליקציות פופולריות ב-Play Store רשמה יותר מ-3 מיליון הורדות 

חוקר האבטחה הצרפתי מקסים אינגראו חשף בחשבון הטוויטר שלו כי גילה משפחת נוזקות חדשה, לה קרא Autolycos. נוזקות אלה התחזו בחנות האפליקציות של Google ל-8 אפליקציות לגיטימיות לפחות, שהחל מיוני 2021 צברו מיליוני הורדות. להערכת החוקר, ייתכן וקיימות בחנות אפליקציות זדוניות נוספות מסוג זה, אותן טרם גילה. עוד חשף אינגראו כי יוצרי הנוזקה קידמו את האפליקציות באמצעות פרסום ממומן באינסטגרם ובפייסבוק ודרך דפים ייעודיים לאפליקציות בפייסבוק, כאשר שתיים מהן קודמו באמצעות לא פחות מ-74 קמפייני פרסום ברשתות השונות. בשעה זו, מלבד כתובת C2 איתן תקשרה הנוזקה, אין בנמצא מידע על יכולותיה, אך ניתן להסיק שהיא אוספת מידע רגיש על משתמשים על סמך ההרשאות אותן היא מבקשת, למשל הרשאות לקריאת הודעות SMS. 

צוות קונפידס ממליץ להגן על מכשירים ניידים באמצעות תוכנות ייעודיות, כדוגמת Check Point Harmony, המנטרות את המכשיר, את האפליקציות המותקנות עליו ואת תנועת הרשת היוצאת והנכנסת אליו. למידע נוסף חייגו 8272*.

​

ChromeLoader: נוזקת Adware המותקנת כתוסף לדפדפן Chrome וחוטפת חיפושי דפדפן מהמשתמש 

התוכנה הזדונית, שהתגלתה בינואר על ידי חוקרי Unit 42 של Palo Alto, ״חוטפת״ חיפושי דפדפן של המשתמש, מציגה לו מודעות זדוניות ועלולה לאפשר הדלפת נתונים מחשבונות משתמשים ומארגונים.
לתוכנה זו קיימים ארבעה וריאנטים ל-Windows ול-macOS:
וריאנט 0: משתמש בגרסה הראשונה של התוסף הזדוני (1.0) ובקובצי הפעלה מסוג AutoHotKey. ידוע כי וריאנט זה היה פעיל כבר בדצמבר 2021.
וריאנט 1: משתמש בגרסאות 2.0-4.4 של התוסף ובקובץ ההפעלה DotNet, המפעיל PowerShell מעורפל כ-Dropper. היה פעיל בעיקר בינואר.

וריאנט 2: משתמש בגרסה 6.0 של התוסף, ובקובץ הפעלה מעורפל כ-Dropper. היה פעיל מחודש מרץ השנה.

וריאנט macOS: מתמקד במחשבי macOS (בשונה מהגרסאות האחרות) ומשתמש בגרסה 6.0 של התוסף. היה פעיל מחודש מרץ השנה.
כל אחד מהווריאנטים מכיל שלבים שונים בשרשרת ההדבקה שלו, אך כולם מתפקדים כהרחבה זדונית לדפדפן. התוסף הזדוני, המשמש כ-Adware, מציג לקורבן פרסומות ומדליף את השאילתות שביצע במנוע החיפוש בדפדפן. לדברי חוקרי Palo Alto, הנוזקה, אשר מתפתחת ומשתכללת במהירות, מופצת כאשר משתמש מתפתה להוריד טורנט או משחק באמצעות קמפיינים המפרסמים תוכן זדוני באתרים כמו טוויטר או אתרי משחקים חינמיים. במסגרת הקמפיין, המשתמש סורק קוד QR אשר מפנה אותו לאתר בו הוא מוריד את הפריטים הבאים: קובץ ISO שמכיל קובץ NET DLL. לגיטימי, החתום על ידי מיקרוסופט, תיקייה המכילה קובץ Resource המשמש את קובץ ה-NET DLL., קובץ הפעלה זדוני וקובץ טקסט שנמצא בגרסאות מתקדמות יותר של הנוזקה. רוב הקבצים שהורדו מוסתרים מהקורבן בעת פתיחת הספרייה, למעט קובץ ההפעלה הזדוני CS_installer.exe, שנותר גלוי על מנת לפתות את המשתמש להריצו, ובכך לסיים את ההתקנה. לרוב, עם לחיצת הקורבן על הקובץ יתקבל חלון חיווי שיודיע על כך שההתקנה נכשלה, כביכול, כל זאת כחלק מהטעיית הקורבן. בפועל, קובץ ההרצה הזדוני, שנכתב ב-NET., יוצר משימה מתוזמנת לביצוע סקריפט זדוני ב-PowerShell בכל 10 דקות, שישמש את התוקף להורדה והטענה של התוסף לדפדפן ה-Chrome של הקורבן. כדי לתקשר עם התוסף הזדוני, התוקפים משתמשים בשרת C2 המזרים לתוסף פרסומת שמוצגת בלשונית חדשה. התוסף מבקש הרשאות מוגברות אשר כוללות גישה לנתוני הדפדפן, תפעול בקשות אינטרנט וגישה לכל כתובת URL. זאת ועוד, התוסף מתקין מאזין המיירט לשרת ה-C2 מידע אליו יש לו גישה. ניתוח מלא של הנוזקה, לרבות IOCs, ניתן למצוא כאן.

צוות קונפידס ממליצים להימנע מהתקנת קבצים ממקורות שאינם מהימנים. לארגונים מומלץ להזין את ה-IOCs במערכות ההגנה.

​

Mantis: מאחורי מתקפת הבוטנט הגדולה בהיסטוריה שכללה 26 מיליון בקשות לשנייה

ביוני 2022 דיווחה חברת הסייבר Cloudflare על מתקפת מניעת השירות (DDoS) הגדולה ביותר שתועדה אי פעם, שכללה 26 מיליון בקשות לשנייה, אשר נחסמו על ידי מערכת ההגנה של החברה. מאז עוקבת Cloudflare אחר הבוטנט Mantis והתקפותיו נגד כמעט אלף מלקוחותיה. פעילותו של Mantis הינה ייחודית, בעיקר בשני מישורים: כמות הבקשות העצומה הנשלחת בשנייה ממספר לא גדול של בוטים המרכיבים את הרשת, והעובדה שמדובר בבקשות HTTPS ולא HTTP בלבד, שכן יצירת 26 מיליון בקשות HTTP הינה משימה קשה דיה גם ללא חיבור מאובטח. לעומת התקפות HTTP, התקפות HTTPS DDoS יקרות יותר במונחים של משאבי החישוב הנדרשים לאור עלותו של יצירת חיבור מאובטח, מה שמדגיש את המורכבות והחוזק הייחודיים של Mantis. מניתוח קורבנות קבוצת התקיפה ניכר שרובם (36%) משתייכים למגזר האינטרנט והתקשורת, מיד אחריהם מצויים לקוחות ממגזר החדשות והפרסום, ולאחר מכן מגזרי הגיימינג והפיננסים. ברשומת בלוג חדשה מתארת Cloudflare את שיטת הפעולה של הבוטנט, מנתחת את היעדים אליהם מכוונות התקפותיו וממליצה כיצד להתגונן מפניו באמצעות כלי ההגנה שהיא מספקת. 

​

מיקרוסופט חושפת מתקפת פישינג העוקפת אימות דו-שלבי לטובת מתקפות BEC; יותר מ-10,000 ארגונים נפגעו 

מתקפת הפישינג רחבת ההיקף כוונה נגד יותר מעשרת אלפים ארגונים מאז ספטמבר 2021, תוך שימוש באתרי פישינג לביצוע מתקפות (AiTM (Adversary-in-the-middle במטרה לגנוב סיסמאות, ״לחטוף״ חיבורים פעילים ולעקוף את תהליך האימות, אפילו במקרים בהם הופעל מנגנון לאימות דו-שלבי (2FA). בפרטי החיבור הגנובים השתמשו התוקפים כדי לגשת לתיבת המייל של המשתמש הנגוע ומשם הוציאו אל הפועל מתקפת (BEC (Business Email Compromise. לדברי מיקרוסופט, מתקפות פישינג הן האמצעי הנפוץ ביותר לקבלת גישה ראשונית לרשת הארגונית הנתקפת, ולמרות שאימות דו-שלבי מספק שכבת הגנה נוספת נגד גניבת פרטי זיהוי - נראה שהאקרים מצאו את הדרך לעקוף גם אותו. במתקפת AiTM התוקפים מעלים שרת Proxy בין המשתמש לבין האתר שאליו הוא מבקש לגשת, דבר המאפשר יירוט של פרטי הכניסה שלו, ביחד עם קובץ העוגייה של תהליך האימות, המכיל הוכחה לאימות הרב-שלבי שבוצע. בפרטים אלה משתמשים התוקפים על מנת להתחבר לפלטפורמה הרצויה, במקרה זה למערכת המייל. ממחקרה של מיקרוסופט עולה שבקמפיין הנוכחי נעשה שימוש ב-Evilginx2 (ערכת כלים לביצוע מתקפות פישינג) כתשתית ל-AiTM, כאשר באחד מניסיונות התקיפה שזוהו העבירו התוקפים למשתמשים רבים בארגון מייל עם קובץ HTML, בו נכתב כי לעובד ממתינה הודעה קולית. עם לחיצה על הקובץ נפתח דפדפן האינטרנט של הקורבן עם דף ובו סרגל התקדמות הורדה, שהוכנס אל עמוד ה-HTML בצורה קבועה, כך שבפועל לא הורד שום קובץ. המשתמש מופנה לדף חדש, שהינו עמוד חיבור מזויף עם כתובת המייל של הקורבן, שכבר מוזנת בשדה המתאים על מנת לשוות לעמוד החיבור מראה אמין. דף זה מייבא את מיתוג הארגון מתוך Azure AD, גם זאת ליצירת נראות אמינה, ולאחר שהקורבן מזין בו את פרטי הכניסה שלו, התוקף מושך אותם ומשתמש בהם כדי להתחבר באמצעותם בעצמו, בשמו של הקורבן.

צוות קונפידס ממליץ לארגונים להתגונן מפני המתקפה על ידי הוספת תנאי לתהליך ההתחברות למייל, למשל כתובות IP מאושרות או מכשירים מאושרים. עוד ניתן להטמיע בארגון פתרונות אנטי-פישינג מתקדמים, המנטרים וסורקים מיילים נכנסים, ולנטר באופן שוטף חיבורים חשודים ופעולות אנונימיות.