עדכון שבועי 25.08.2022

עדכון אבטחה לאפליקציית Zoom למחשבי macOS נותן מענה לחולשה ברמת חומרה

העדכון, שפורסם ב-17 באוגוסט, סוגר במוצר חולשה (CVE-2022-28757, CVSS 8.8) שמקורה ברכיב העדכון האוטומטי, ואשר עלולה לאפשר למשתמש מקומי בעל הרשאות נמוכות להשיג במערכת הרשאות Root. העדכון רלוונטי לגרסאות המוצר 5.7.3-5.11.6 (לא כולל).

צוות קונפידס ממליץ למשתמשי Zoom במחשבי macOS לעדכן את האפליקציה לגרסה 5.11.6.

עדכון אבטחה לאפליקציית Ring של Amazon נותן מענה לחולשה ברמת חומרה גבוהה

באפליקציה, המסוגלת לזהות תנועה על בסיס מצלמה, ואשר הורדה יותר מ-10 מיליון פעמים, נמצאה פירצה הרלוונטית למכשירים מבוססי Android ומאפשרת לתוקף לגשת ל-Android Manifest, האחראי על מתן ההרשאות לאפליקציה לגישה וקבלת מידע מאפליקציות אחרות. אפליקציות אלה עלולות להיות זדוניות ולנסות לשכנע את הקורבן להתקינן, כאשר לאחר התקנתן הוא מועבר לאתר זדוני בו נגנבים ממנו אישורי המשתמש, או העוגיות. בעזרת אלה ניתן להשיג מידע אישי של המשתמש, לרבות שמו המלא, מייל, מספר טלפון, מיקום, כתובת מגורים וסרטונים שמורים. זאת ועוד, באמצעות אפליקציות לניתוח סרטים, כדוגמת Google Vision ,Azure Computer Vision או Amazon Rekognition, יכול התוקף לזהות פרצופים, חפצים ואף אישי ציבור. לאחר שחברת Checkmarx הביאה דבר הפירצה לידיעת Amazon, האחרונה פעלה במהירות לסגירתה ופרסמה גרסה עדכנית יותר של האפליקציה.

צוות קונפידס ממליץ למשתמשי Ring לעדכן את המוצר לגרסתו האחרונה הן ב-Play Store והן ב-App Store.

עדכון אבטחה לפלטפורמת CrowCpp נותן מענה לחולשה קריטית

הפלטפורמה, המצויה במאגרי GitHub, משמשת מתכנתים בשפת ++C ליצירת שרתי HTTP ופרוטוקולי תקשורת בין שרת ללקוח (WebSocket). החולשה (CVE-2022-38667, CVSS 9.8) שנמצאה בפלטפורמה היא מסוג Use-After-Free ועלולה לאפשר לתוקף להריץ פקודות קוד זדוניות על מערכת הקורבן, כל זאת עקב שגיאה שמקורה באי-מחיקה של נתיב התוכנית מזיכרון המערכת, לאחר שנמחקה.

צוות קונפידס ממליץ למשתמשי CrowCpp לעדכן את המוצר לגרסתו האחרונה - Crow-v1.0+4.deb.

עדכון אבטחה ל-McAfee Data Loss Prevention Endpoint  נותן מענה לחולשה ברמת חומרה בינונית 

העדכון רלוונטי למערכת ההפעלה Windows וסוגר חולשה (CVE-2022-2330, CVSS 6.5) העלולה להיות מנוצלת באמצעות קובץ XML מוכן מראש המגדיר ערכים שנטענים מחוץ להגדרת המסמך (DTD), ובכך מאפשר לתוקף לקבל גישה לשירותים מקומיים של העמדה. מקור החולשה במנגנון עיבוד קובצי XML שאינו מגביל אזכורים חיצוניים, ומאפשר טעינה חיצונית של ערכים במערכת. גרסאות המוצר הפגיעות הן אלה הקודמות ל-11.6.600 ו-11.9.100.

צוות קונפידס ממליץ לבעלי המוצר לעדכנו לגרסה האחרונה.

עדכון אבטחה למערכת ניהול הלקוחות Exment נותן מענה ל-3 חולשות, אחת מהן ברמת חומרה גבוהה

להלן החולשות שנסגרו בעדכון האבטחה למערכת ניהול הלקוחות (CRM) בקוד פתוח:

CVE-2022-38080, CVSS 5.4 - ניצול החולשה עלול להוביל למתקפה מסוג Reflected cross-site scripting, הכוללת הרצת קוד שרירותי על מכונות של משתמשים הניגשים לאתר.

CVE-2022-37333, CVSS 8.8 - חולשה מסוג SQL Injection, העלולה לאפשר לתוקף לבצע בקשות אל תוך ה-Database ובקשות ישירות אל שרת ה-SQL. הבקשות עלולות להיות זדוניות, ובין היתר להוביל לדלף מידע.
CVE-2022-38089, CVSS 5.4 - ניצול החולשה עלול להוביל למתקפה מסוג Stored cross-site scripting, הכוללת הרצת קוד שרירותי על מכונות של משתמשים הניגשים לאתר.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה, על פי המתכונת הבאה:
משתמשי PHP8: עדכון ה-exceedone/exment לגרסה 5.0.3 וה-exceedone/laravel-admin לגרסה 3.0.1.
משתמשי PHP7: עדכון ה-exceedone/exment לגרסה  4.4.3 וה-exceedone/laravel-admin לגרסה 2.2.3.

עדכון אבטחה ל-VMware Tools של VMware נותן מענה לחולשה ברמת חומרה גבוהה 

החולשה (CVE-2022-31676, CVSS 7.0) עלולה לאפשר לתוקף בעל גישה מקומית למערכת ההפעלה וללא הרשאות אדמין להעלות הרשאות לרמת Root במכונה וירטואלית, והיא רלוונטית למערכות ההפעלה Windows (גרסאות 11 ומעלה ו-12 ומעלה של VMware Tools) ו-Linux (גרסאות 10 ומעלה, 11 ומעלה ו-12 ומעלה של VMware Tools).

אנו ממליצים למשתמשי המוצר לעדכנו לגרסתו האחרונה ולהשתמש בו רק בגרסאות המוגדרות כבטוחות, המופיעות כאן.

עדכון אבטחה לדפדפן Firefox נותן מענה ל-5 חולשות, 4 מהן ברמת חומרה גבוהה

שתיים מן החולשות (CVE-2022-38477, CVE-2022-38478) שנסגרו בעדכון שפרסמה השבוע Mozilla עלולות לאפשר לתוקף להריץ קוד על עמדת הקצה.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה - Firefox ESR 102.2

יותר מ-23,000 ארגונים ברחבי העולם חשופים לחולשה קריטית במצלמות Hikvision המנוצלת לתקיפות

חוקרי אבטחה מחברת CYFIRMA הסינגפורית מצאו יותר מ-80,000 מצלמות מתוצרת Hikvision הפגיעות לחולשה קריטית (CVE-2021-36260, CVSS 9.8) שעלולה לאפשר הזרקת קוד זדוני על ידי שליחת הודעה מותאמת אישית לשרת Web פגיע. החולשה נוצלה בדצמבר 2021 על ידי הבוטנט Moobot, המבוסס על הבוטנט המוכר Mirai, ושימשה להפצה מאסיבית של הבוטנט ולגיוס מערכות נוספות לתשתית המשמשת לביצוע מתקפות מניעת שירות (DDoS). הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) פרסמה אזהרה בנוגע לחולשה, הכניסה אותה לקטלוג החולשות הידועות המנוצלות שלה והפצירה בארגונים המשתמשים במצלמות מתוצרת Hikvision לעדכן את מערכותיהם באופן מיידי. לדברי החוקרים, לעתים קרובות פורומי פריצה דוברי רוסית מוכרים נקודות כניסה לרשת המבוססות על מצלמות Hikvision, אותן ניתן לנצל לשימוש כבוטנט, לתנועה רוחבית ולמתקפות סייבר נגד מדינות. נוסף על סגירת החולשה המדוברת באמצעות הטמעת עדכון אבטחה, החוקרים ממליצים להגדיר סיסמאות מורכבות להתחברות למוצרי רשת ולשנות את הסיסמאות המוגדרות בהם כברירת מחדל עם רכישתם, פן ישמשו לתוקפים דלת כניסה פשוטה אל המוצרים, מהם קצרה מאוד הדרך לרשת המשתמש. למרות שעוד בספטמבר 2021 פרסמה Hikvision עדכון חומרה שסגר את החולשה, עדיין ישנם כ-23,000 ארגונים בכ-100 מדינות שלא הטמיעו אותו, וחשופים לחולשה הקריטית.

צוות קונפידס ממליץ לכלל המשתמשים במוצרי Hikvision לעדכנם בהקדם לגרסאותיהם האחרונות.

עדכון אבטחה ל-GitLab נותן מענה לחולשה קריטית

העדכון שפורסם על ידי החברה סוגר במוצר חולשה (CVE-2022-2884, CVSS 9.9) העלולה לאפשר למשתמש להריץ קוד מרחוק, ואשר מקורה בתקלה במנגנון הייבוא של הפלטפורמה מ-GitHub. החולשה רלוונטית לגרסאות 11.3.4 עד 15.1.5, 15.2 עד 15.2.3 ו-15.3 עד 15.3.1 של המוצר. 

צוות קונפידס ממליץ למשתמשי הגרסאות הרלוונטיות של GitLab לעדכן את המוצר בהקדם האפשרי. במידה ולא מתאפשר לעשות זאת באופן מיידי, יש לעיין ב-Workarounds המופיעים בפרסום האבטחה ולפעול בהתאם להם.

עדכון לגרסאות הבטא של Google Chrome הכולל גם עדכוני אבטחה

העדכונים שפרסמה Google רלוונטיים ל-Google Chrome Desktop ,Chrome OS ו-Google Chrome Android, כאשר העדכונים לגרסת ה-Dev של Chrome OS כוללים גם עדכוני אבטחה. לא פורסמו פרטים נוספים על העדכונים.

צוות קונפידס ממליץ למשתמשי גרסאות הבטא של המוצרים להטמיע במערכותיהם את העדכונים שפורסמו.

עדכון אבטחה ל-Kernel של Linux נותן מענה לחולשה בדרגת חומרה גבוהה 

החולשה (CVE-2022-2959, CVSS 7.8), שהינה מסוג Race Condition, התגלתה בליבת מערכת ההפעלה ועלולה לאפשר לתוקף להעלות הרשאות על ידי שליחת בקשה שהוכנה מראש בעלת מבנה מיוחד לשם הרצת קוד בהרשאות המערכת. מקור החולשה בפגם במנגנון ה״נעילה״ של פונקציה שמשמשת את המערכת לשינוי גודל הזיכרון הדינאמי (Buffer) עבור תהליך. הדבר גורם לפונקציה לשנות את מיקום הזיכרון המוקצה לתהליך ולשחרר את הזיכרון בו נעשה שימוש עבור גורמים אחרים, שעלולים להיות זדוניים.

צוות קונפידס ממליץ למשתמש Linux לעדכן את מערכת ההפעלה לגרסתה האחרונה.

בקרים תעשייתיים ככלי לחדירה - לא כמטרה

צוות המחקר Team82 של Claroty פיתח מתקפה המשתמשת בבקרים תעשייתיים לניצול עמדות בקרה ושליטה ולאחיזה ראשונית ברשתותיהן. המתקפה מכוונת נגד מהנדסים שעובדים באופן יומיומי עם בקרים תעשייתיים להבטחת אמינות ובטיחות תהליכי עבודה, בעיקר בחברות חשמל ומים ובתחומי הייצור הכבד, הפיתוח, האוטומציה ועוד. 

המחקר שפרסם ה-Team82 כולל הוכחת היתכנות של המתקפה בקרב 7 חברות מובילות בתחום האוטומציה: Rockwell Automation ,Schneider Electric ,GE ,B&R ,Xinje ,OVARRO ו-Emerson. רשתות מסוג Operation Technology, או OT, מכילות עשרות בקרים תעשייתיים, המפקחים על תהליכים תעשייתיים. כאשר תוקף מבקש להשפיע פיזית על תהליך תעשייתי מסוים, יהיה עליו לחקור וללמוד לעומק את כלי השליטה ולמצוא את הכלי המדויק האחראי על התהליך בו ברצונו לפגוע. הטכניקה בה נקטו חברי Team82 התבססה על פיתוי מהנדסים להתחבר אל בקר תעשייתי על ידי יצירת תקלה מדומה ושימוש בחולשות שנמצאו מראש, כל זאת לשם הזרקת קוד לעמדה המשמשת את המהנדס להתחברות לבקר לצורך איתור תקלות ותפעול המערכת. למשל, באחת המערכות הצליחו החוקרים למצוא אפשרות להרצת קוד שרירותי על העמדה באמצעות חולשה בתהליך העלאת הקבצים אל הבקר. בכך, במקום שהבקר יהווה את מטרת התקיפה, התוקפים הפכו אותו לכלי לניצול עמדות המהנדסים, שלרוב הן בעלות גישה לשאר הבקרים ומאפשרות צפייה ולמידה מקיפות וקלות יותר של כל המערכות מסוג זה ברשת הארגונית. אחת המתקפות הידועות ביותר על בקר תעשייתי היתה מתקפת ה-Stuxnet על צנטריפוגות הכור הגרעיני באיראן, שיוחסה לישראל ולארצות הברית, וכללה השתלטות על בקר תעשייתי שהיה אחראי על שליטה ובקרה של פעילות הצנטריפוגות. במהלך התקיפה שונתה באמצעות נוזקה מהירות הצנטריפוגות, בעוד שמערכת הבקרה והשליטה הציגה מהירויות תקינות.

241 חבילות קוד זדוניות נמצאו במאגר החבילות npm ו-PyPI 

חוקרים מחברת Sonatype גילו 186 חבילות קוד זדוניות במאגר החבילות npm, המיועדות עבור מערכת ההפעלה Linux. החבילות מתקינות כורה מטבעות קריפטוגרפיים באמצעות הורדת סקריפט הכתוב בשפת Bash משרת התוקפים, דרך קישור מקוצר מסוג bit.ly. בחקירת החבילות התגלה שחלקן התחזו לחבילת הקוד הנפוצה http-errors, המשמשת כספריית JavaScript, ואשר מורדת יותר מ-50 מיליון פעם בשבוע. החוקרים פרסמו קובץ המכיל את שמותיהן של 186 החבילות הזדוניות וחשפו את שם המשתמש שהעלה אותן למאגר, 17b4a931. גם לחבילות זדוניות אחרות ניתנו שמות הדומים לחבילות מקור נפוצות, על מנת לבלבל את המשתמשים, ובחקירה מעמיקה של תוכנן נמצא שהן אכן מכילות את תוכן החבילות המקוריות, לרבות קובצי ההסבר (README) המקוריים, כדי לשוות לעצמן חזות אמינה. ואולם, לאחר מספר שורות קוד לגיטימיות מתגלה הפעילות הזדונית, המושכת את הסקריפט משרת התוקפים ומריצה אותו במצב ״שקט״, כך שלא יהיה ניתן לזהות את תהליך התקנת הכורה על העמדה. כמו כן, נמצאו עדויות להערות שנכתבו בסקריפט על ידי התוקפים, המאשרות שהקוד נכתב עבור מערכות Linux בלבד. 

תגליותיה של Sonatype מתווספות לתגליתו של החוקר האוקה ליברס, שחשף 55 חבילות קוד זדוניות במאגר PyPI, הפועלות בצורה זהה על מנת להתקין כורה מטבעות קריפטוגרפיים, לאחר שהורדו דרך אותו שרת. הדבר התגלה לאחר שנחשפו במאגר 33 חבילות, שלאחר הסרתן ממנו הועלו אליו 22 חבילות קוד זדוניות נוספות עבור מפתחים בשפת Python. על סמך הראיות שעלו מהמחקרים, ניתן להסיק כי כל החבילות פורסמו על ידי גורמים זדוניים בקמפיין שמטרתו לפרוס כורי קריפטו.

צוות קונפידס ממליץ להוריד חבילות רק ממפיציהן המקוריים.

קבוצת התקיפה  APT-C-35/DoNot שמקורה בהודו משדרגת את יכולות התוכנה הזדונית YTY

הקבוצה, המכונה גם APT-C-35, החלה את פעילותה ב-2016, לכל המאוחר, ומתמקדת בגופים ממשלתיים וצבאיים, בשגרירויות ובמשרדי חוץ של מדינות בדרום אסיה, כגון הודו, פקיסטן, סרי לנקה ובנגלדש. בדוח טכני שפרסמה חברת האבטחה Morphisec Labs מפורטים חידושים ברוגלת (YTY (Jaca, המיועדת למערכות מבוססות Windows, בהם רכיב שביכולתו לגנוב מהדפדפנים Chrome ו-Firefox מידע כמו אישורי כניסה והיסטוריית גלישה.

בשלב הראשון, הקבוצה משתמשת ב-Spear Phishing (פישינג ממוקד) המכיל צרופת RTF, שבעת פתיחתו נשלחת בקשת HTTP GET לשרת C2 מרוחק של התוקפים. אם עולה שקיים על העמדה MSOffice, מנוצלת חולשה ב-Equation Editor להזרקת קובץ מאקרו זדוני. כאשר ה-Remote template מוזרק, הוא מפתה את הקורבן לאפשר מצב עריכה כדי להתיר לפקודות המאקרו הזדוניות לפעול, מה שמאפשר הזרקת Shellcode לזיכרון של התהליך במחשב, ובהמשך מוריד Shellcode נוסף משרת ה-C2.

בשלב השני מורדים ומופעלים המודולים שישמשו לגניבת המידע של הקורבן, ומוגדרת משימה מתוזמנת על מנת לבסס את אחיזת הנוזקה בעמדה. כדי להבין באילו מודולים יהיה שימוש, התוכנה מתקשרת עם שרת C2 אחר. המודולים האמורים מגדילים את פונקציונליות התוכנה הזדונית ומאפשרים לה לאסוף מידע מגוון מאוד על הקורבן, כמו הקלדות, צילומי מסך, קבצים ומידע המאוחסן בדפדפנים. פונקציונליות נוספת היא מודול ה-Reverse shell, המאפשר לשחקן זדוני לגשת מרחוק לעמדה פגיעה. 

צוות קונפידס ממליץ לגלות ערנות למיילים חשודים ולא ללחוץ על קישורים או לפתוח מסמכים ממקורות שאינם מוכרים או שאינם צפויים. הדוח המלא של Morphisec Labs, לרבות IOCs שאותם מומלץ להזין במערכות ההגנה של הארגון, מצוי כאן.

דפי בדיקת אנושיות מזויפים באתרי WordPress הובילו להדבקת משתמשים ברוגלות טרויאניות

בדוח של חברת אבטחת האתרים Sucuri, שותפתה של חברת הדומיינים ואחסון האתרים GoDaddy, נחשף כי תוקפים הדביקו מחשבים של קורבנות ברוגלות טרויאניות (RAT, או Remote Access Trojan) על ידי הדבקת אתרי WordPress. לאחר הפריצה לאתרים, התוקפים החדירו קוד JavaScript זדוני המציג למבקרי האתר הודעה שתפקידה לחקות ״בדיקת אנושיות״ נגד בוטים ומתקפות מניעת שירות (DDoS). בעת לחיצה על ההודעה, האתר שולח אל הקורבן קובץ ISO להורדה, שמתיימר להיות אפליקציית ההגנה DDoS-Guard, ומפתה אותו לפתוח את הקובץ באמצעות בקשה להקשת קוד אימות המוצג לו בעת פתיחת ה״אפליקציה״ (הקוד אכן מוצג, על מנת לשוות לבקשה אמינות). ג׳רום סגורה, חוקר בחברת MalwareBytes, סייע להבנה שה-RAT מריץ פקודות PowerShell זדוניות, מתקין את רוגלת Raccoon Stealer ומוריד למחשב הקורבן שני RATs נוספים, המאפשרים לתוקף לעשות במחשב הקורבן כרצונם.

צוות קונפידס ממליץ להתגונן מפני פריצה לאתרים באמצעות עדכון תכוף של התוכנות והחומרות של אתרים בענן, שימוש בסיסמאות מורכבות ובמנגוני אימות רב-שלביים (MFA) בעת כניסה לאיזור הניהול שלו ושימוש בשירותי Firewall לאתרים ושירותי אינטרנט. לגולשים באתרים מומלץ להתקין על המחשבים האישיים תוכנת אנטי-וירוס/EDR, לוודא כי מנגנוני האימות הדו-שלביים (2FA) מופעלים בכלל החשבונות והשירותים החשובים ולהקפיד לעדכן תוכנות המותקנות על המחשב. למידע נוסף חייגו 8272*.

האקרים מנצלים חולשת Zero-day לגניבת מטבעות קריפטוגרפיים מכספומטי ביטקוין של חברת General Bytes

General Bytes הינה יצרנית של כספומטי ביטקוין המאפשרים רכישה ומכירה של יותר מ-40 מטבעות קריפטו שונים. הכספומטים נשלטים על ידי CAS) Crypto Application Server) שמנהל את תפעולם ומבצע את פעולות הרכישה והמכירה של המטבעות בבורסות המסחר. על פי מידע שפרסמה General Bytes, המתקפות התבססו על ניצול חולשת Zero-day בממשק האדמין של שרת ה-CAS, כאשר התוקף הצליח ליצור לעצמו מרחוק משתמש אדמין בממשק, על ידי הפניית URL לעמוד המשמש להתקנת ברירת המחדל על השרת. General Bytes סבורה שהגורם הזדוני מבצע את פעולותיו באמצעות סריקת שרתי TCP החשופים לאינטרנט בפורטים 7777 או 443, שהינם פורטי ברירת המחדל עבור שרתי CAS, ולאחר מכן ניצול החולשה והוספת האדמין ״gb" למערכת. אדמין זה משנה את פקודות המכירה והקנייה ואת ״כתובת אמצעי התשלום״ לכתובתו של ארנק הנמצא בשליטת התוקף. עם שינוי הפקודות, בכל פעם בה תבוצע מכירה או קנייה, מטבעות הקריפטו יועברו ישירות אל התוקף. חברת General Bytes מדגישה שאין להשתמש בכספומטים עד להטמעת עדכון האבטחה שפרסמה על ידי מפעילי הכספומטים (20220531.38, 20220725.22), ושחררה רשימת בדיקות לביצוע על כספומטים לפני חידוש השימוש בהם. בתוך כך, יש לציין שהכספומטים לא היו פגיעים אם ה-Firewall בשרתים היה מוגדר כך שלא יאפשר חיבור מכתובת IP שאינה מוכרת. בשלב זה לא ברור כמה שרתים נפרצו בשיטה זו ומהו היקף גניבת המטבעות.

צוות קונפידס ממליץ למפעילי הכספומטים לעדכן את השרתים לגרסאות שפורסמו על ידי General Bytes, לבצע את הבדיקות המומלצות על ידי החברה ולשנות את הגדרות השרת על פי המלצתה.

חבילות זדוניות שהועלו ל-PyPi גונבות מידע ממשתמשי קהילות המשחקים Discord ו-Roblox

ממחקר של חברת אבטחת המידע Snyk עולה ש-12 חבילות זדוניות הועלו ב-1 באוגוסט למאגר חבילות הקוד הפתוח (Python Package Index (PyPi על ידי משתמש המכונה scarycoder. החבילות אינן משתמשות בשיטות הטעיה נפוצות, כמו שגיאת כתיב בניסיון להתחזות לספרייה לגיטימית, אלא מוצגות בשמות משלהן ומבטיחות תכונות שונות ומתקדמות, כדי לפתות מפתחים להשתמש בהן. החבילות שהועלו מתחזות לכלי מפלטפורמת המשחקים ,Roblox או לחלופין לחבילות המכילות מודולים של האקינג בסיסי או לכלי לניהול שרשורים, אך בפועל מתקינות נוזקות הגונבות סיסמאות מממכשיריהם של מפתחים המשתמשים בהן.

בניתוח של אחת החבילות, cyphers, מראים החוקרים כיצד הקוד הזדוני המוסתר בקובץ setup.py משמש להתקנת שני קובצי הפעלה של נוזקות, ZYXMN.exe ו-ZYRBX.exe, משרת Discord CDN. הקובץ הבינארי הראשון, ZYXMN.exe, משמש לגניבת מידע מדפדפנים כמו Google Chrome ,Chromium ,Microsoft Edge ,Firefox ו-Opera על ידי פענוח המפתח הראשי למסד הנתונים המקומי של הדפדפן האינטרנט. הדבר מאפשר אחזור נתוני טקסט של היסטוריית החיפושים של הקורבן, היסטוריית גלישה, קובצי עוגיות, סימניות, סיסמאות מאוחסנות וכרטיסי אשראי מאוחסנים. המידע נשלח אל התוקפים באמצעות חיבור האינטרנט של (Discord (Discord webhook. מלבד זאת, הקובץ הבינארי משנה קובץ JavaScript המכונה index.js שנמצא בתיקייה discord_desktop_core ומוסיף לו את הסקריפט הזדוני של Discord-Injection, שעם הפעלת Discord מחדש יבצע גניבה של מפתחות אימות, של סטטוס ה-Nitro של חשבון ה-Discord ושל פרטי חיוב וכרטיסי אשראי.

הקובץ הבינארי השני,  ZYRBX.exe, מתרכז בפלטפורמת ה-Roblox בלבד ומנסה לגנוב את קובצי העוגיות של החשבון, את מזהה המשתמש, את יתרת ה-Robux ואת מצב ה-Premium בחשבון, ולהעבירם ל-Discord webhook.

למרות שנכון לכתיבת שורות אלה החבילות הזדוניות הוסרו מהמאגר, תגובתה של החברה היתה איטית באופן יחסי. את רשימת החבילות הזדוניות המלאה ניתן למצוא כאן.

​
תוקפים שולחים מיילי פישינג  מחשבון  PayPal שנפרץ

על פי ידיעה שפורסמה בבלוג אבטחת המידע Krebs on Security, תוקפים הצליחו לשים את ידיהם על חשבונות עסקיים של חברת PayPal ולפתות באמצעותם קורבנות לספק להם גישה למחשביהם האישיים. במקרה שהובא לידיעת האתר, הקורבן קיבל מייל שהגיע מכתובת לגיטימית לחלוטין של PayPal והוביל לכתובות URL לגיטימיות של החברה. במייל נטען כי חשבונו של הקורבן נפרץ, כי בוצעה באמצעותו רכישה בסכום של  600 דולר וכי ניתן להתקשר למרכז תמיכה על מנת לקבל שירות במידה ולא ביצע את הרכישה. משיצר הקורבן קשר עם ״מרכז התמיכה״, הוא התבקש לגשת לאתר חשוד (אשר כעת כבר אינו משויך לכתובת PayPal לגיטימית) ולהוריד ממנו תוכנה לשליטה מרחוק בעמדות. מ-PayPal נמסר כי החברה מודעת לקמפיין הפישינג האמור וביצעה פעולות למיגור התרמית. עוד המליצה החברה ללקוחותיה ליצור קשר עם שירות הלקוחות שלה במידה והם חושדים בתרמית. טרם התברר אם כתובות המייל בהן השתמשו התוקפים עדיין נמצאות בשליטתם או אם עודן פעילות. ניתן להתגונן מפני מתקפות מסוג זה על ידי בדיקה עצמאית באתר או באפליקציה הרשמיים של הפלטפורמה או השירות אם בוצעה הרכישה המתוארת במייל.

קמפיין ריגול חדש של קבוצת התקיפה הצפון קוריאנית Lazarus 
חוקרי חברת ESET חשפו בשרשור בטוויטר קמפיין ריגול חדש של קבוצות התקיפה Lazarus, שהשתמשה במסמך מזויף המחקה מודעת דרושים של חברת Coinbase, הפונה למהנדסים. הקמפיין, המכונה In(ter)ception, מתבסס על רוגלה החתומה ומקומפלת כקובץ הפעלה, ואשר בעת הרצתה מורידה 3 קבצים: קובץ PDF בשם Coinbase_online_careers, המיועד להטעיית הקורבן, ושני קבצי הפעלה בשם FinderFontsUpdater, שנועדו להפעיל קובץ אחר, safarifontagent, האחראי על הצעד הבא בפעילות הרוגלה. כל הקבצים נועדו למערכת ההפעלה macOS ופועלים על מעבדי M1 ו-Intel. זאת ועוד, לרוגלה יש גם גרסת Windows שהופעלה במסגרת הקמפיין  In(ter)ception, כפי שזוהה באוגוסט על ידי חוקר המכונה Jazi. הקמפיין הנוכחי דומה לקמפיין אחר של אותה קבוצת תקיפה, שנחשף על ידי ESET בחודש מאי והתבסס גם הוא על פיתוי מהנדסים באמצעות קובץ PDF.

צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את ה-IOCs המצויים בשרשור הציוצים של ESET, ולגלות ערנות למיילים וקישורים חשודים.

תוקפים מנצלים למתקפות פישינג פלטפורמות פופולריות ליצירת אתרים

בדוח של Unit 42, חטיבת המחקר של Palo Alto Networks, נחשף כי תוקפים החלו לאמץ שיטה של יצירת דפי פישינג באמצעות השירותים והפלטפורמות המוכרות, כאשר לדברי החוקרים בין יוני 2021 ליוני 2022 נרשמה עלייה של 1,110% במספר אתרי הפישינג שהתגלו, אשר ״יושבים״ על פלטפורמות SaaS לגיטימיות. הסיבה לפופולריות של השיטה בקרב תוקפים הינה הקושי לגלות את האתרים הללו באמצעות מערכות ניטור והגנה, משום שהם מאוחסנים תחת כתובות URL השייכות לפלטפורמות לגיטימיות ומוכרות, ובכך מוליכים שולל הן מערכות הגנה והן קורבנות אנושיים. זאת ועוד, עקב הקלות שביצירת אתר בפלטפורמות הללו ללא כל הכרות עם קוד, בעזרת אופציות העיצוב הרבות והמתקדמות שהן מציעות, עמודי הפישינג שנוצרים באמצעותם מתהדרים בחזות איכותית. באחד מהמקרים המוצגים בדוח מופיע דף המיועד לגניבת פרטי התחברות, ובו לוגו של חברת שירות מוכרת מאוד, אותו הטמיעו התוקפים לשם חיזוק אמינותו, כביכול. דבר נוסף שמקשה על מערכות זיהוי איומים אוטומטיות לגלות את המתקפה הוא העובדה שבאמצעות אותן פלטפורמות ניתן ליצור טפסים אינטראקטיביים, הכוללים שדה להזנת סיסמה רק לאחר הזנת כתובת המייל. כיום, העובדה שאתר או עמוד מצויים בפלטפורמה מוכרת כבר אינה יכולה להעיד על הלגיטימיות שלו, ויש לנקוט משנה זהירות בעת הקלדת פרטים אישיים או רגישים ברשת. עוד ניתן לאמץ כניסה ידנית לאתר או לפלטפורמה של השירות המבוקש ולהזין את בו פרטים באופן ידני.

האקרים התחזו ב-Deepfake לבכיר בבורסת קריפטו ו״עקצו״ כספים מיזמים

פטריק הילמן, קצין תקשורת ראשי ב-Binance, בורסת המטבעות הקריפטוגרפיים הגדולה בעולם, טוען בפוסט בבלוג שבבעולותו כי קבוצה של האקרים מתוחכמים השתמשה בצילומי וידיאו שלו ובהופעות טלוויזיוניות שערך על מנת להתחזות אליו באמצעות טכנולוגיית Deepfake, ובכך להערים על קורבנות לקיים עמו פגישות, כביכול. לטענתו, הזיוף היה מוצלח דיו על מנת להפיל בפח כמה מחברי קהילת הקריפטו, אך לדבריו התוקפים לא לקחו בחשבון את 15 הקילוגרמים שהוסיף למשקלו במהלך תקופת הקורונה. להוכחת טענתו צירף הילמן צילום מסך של שיחה עם אדם אנונימי שטען כי תקשר איתו ב-Zoom, בעוד שלדברי הילמן מדובר בהתחזות באמצעות הולוגרמה. על פי אתר החדשות The Verge, עד היום הוכח שימוש ב-Deepfake בתצורת שמע על מנת להתחזות לאנשים בטלפון, והוכחו התחזויות מבוססות Deepfake בסרטונים ששותפו במדיה החברתית לצורך הונאות. ואולם, חרף קיומו של דיון נרחב בנושא השימוש ב-Deepfake להתחזות לאנשים בשיחות וידאו, טרם נצפו מקרים בהם אושר הדבר בוודאות, ולא ברור אם כיום הטכנולוגיה בצורתה הנגישה ביותר מתוחכמת מספיק לשם התחזות בשיחה חיה. לדברי הילמן, קו ההגנה הראשון נגד הונאות הוא המשתמש עצמו, והוא ממליץ לחברי קהילת הקריפטו לגלות ערנות ולנקוט צעדים על מנת לוודא שלא ייפלו להן קורבן. בין היתר ממליץ הילמן להשתמש בכלי Binance Verify על מנת לבדוק אם חשבונות המבצעים פנייה מייצגים את Binance באופן רשמי, ולדווח לצוות התמיכה של Binance על כל פעילות או חשבונות חשודים.

​
קבוצת APT איראנית משתמשת בכלי חילוץ מידע חדש
בפרסום חדש של ה-TAG, צוות ניתוח האיומים של Google, נחשף HYPERSCRAPE, כלי לביצוע דלף מידע הנמצא בשימוש הקבוצה, ואשר זוהה בדצמבר האחרון, כששימש לגניבת מידע מחשבונות Gmail ,Yahoo ו-Microsoft Outlook. לאחר השגת פרטי הזדהות של משתמשים באמצעות מתווי תקיפה שונים, התוקף מריץ על עמדה משלו את הכלי, מתחבר אל המשתמשים אוטומטית ומעתיק את כל התוכן של תיבת המייל שלהם אל העמדה המקומית. ה-TAG זיהה שימוש בכלי נגד פחות מעשרים משתמשים, כולם מאיראן, כאשר הדגימה הראשונה שלו נצפתה ב-2020. בתוך כך, ה-TAG נקט בפעולות לאבטחת החשבונות בהם זוהתה פעילות הכלי, שעדיין נמצא בפיתוח פעיל. הכלי כתוב בשפת NET., המיועדת למערכות הפעלה מסוג Windows, ובעת הרצתו הוא מבצע בקשת HTTP GET אל שרת C2 בשליטת התוקף ומחכה ל-HTTP Response המכיל את הערך "OK" בגוף ה-Response. בגרסאותיו המתקדמות יותר נראה שהכלי החל להשתמש בערך מקודד ב-Base64, ובעת הרצתו בממשק ה-CLI הוא יודע לקבל מספר ערכים השולטים בתצורת הפעולה שלו, בהם מצב הפעלה, מחרוזת זיהוי ונתיב אל קובץ עוגייה של Session. לאחר ההרצה, קובץ העוגייה מוזרם אל תוך זיכרון מוטמן מקומי הנמצא בשימוש הדפדפן, נוצרת תיקייה חדשה בשם Downloads והדפדפן מנווט אל שירות המייל המסומן ומתחיל לאסוף מידע אל תוך התיקייה שנוצרה. HYPERSCRAPE מתחבר אל תיבת המייל, פותח מיילים ומוריד אותם, כאשר במידה ומייל מסומן כ״לא נקרא״, הכלי שב ומסמן אותו כך לאחר פתיחתו. עם סיום הורדת כל המידע ממשתמשי הקורבנות, מתבצעת בקשת POST אל שרת ה-C2, המסכמת את הפעולות שנעשו. זאת ועוד, הכלי מוחק בצורה אוטומטית את כל המיילים שהתקבלו מ-Google על פעילות התוקף בחשבון הקורבן. בבלוג של ה-TAG ניתן למצוא ניתוח טכני מלא של HYPERSCRAPE.

נוזקה חדשה תוקפת שירותי Active Directory 

ממחקר שפרסמה חברת אבטחת המידע Cybereason עולה כי קבוצות שונות משתמשות בכלי התקיפה החדש Bumblebee Loader, אשר נזכר לראשונה בחודש מרץ בדוח של צוות המחקר של Google. הכלי, שככל הנראה שימש גם את קבוצת התקיפה הרוסית Conti, הינו מסוג Post-exploitation, כלומר הוא אינו משמש לגישה ראשונית לרשת הנתקפת אלא להרחבת יכולות השליטה בה (השגת הרשאות חזקות וגניבת זהויות) והתנועה רוחבית בתוכה. מתווה התקיפה מתחיל בשליחת מייל פישינג עם צרופה או קישור להורדת קובץ ארכיון (למשל ZIP) המכיל קובץ ISO, שמפעיל את הנוזקה. במחקר מפורטת שיטת התקיפה מרגע השגת הגישה אל הרשת ועד לתקיפת משאבי ה-Active Directory והניסיון להוציא מהרשת מידע. נקודות המפתח בציר התקיפה הינן החדרת הקובץ הזדוני למחשב תוך מתקפת פישינג להשגת גישה ראשונית לארגון, מיפוי הרשת הנתקפת באמצעות הנוזקה (Reconnaissance), החדרת כלי שליטה חזק (C&C) עם הרשאות גבוהות, גניבת זהויות נוספות ברשת וחדירה לנכסים נוספים. ציר התקיפה מסתיים בגניבת מידע מהרשת הנתקפת (Data Exfiltration). על פי הדוח של Cybereason, נראה שציר הזמן אורך כ-3 ימים מרגע השגת הגישה הראשונית ועד לסיום התקיפה, עם הוצאת המידע מהרשת. 

צוות קונפידנס ממליץ להזין את מזהי התקיפה (IOCs) במערכות ההגנה של ארגונים ולאסור על קבלת צרופות מסוג ZIP או RAR בפלטפורמת המייל. 

משתמשי פלטפורמת PyPi מצויים על הכוונת בקמפיין פישינג חדש

בהמשך לדיווחים קודמים על חבילות Python מתחזות בפלטפורמת PyPi (ראו ״הסייבר״ 5.8.21), השבוע צייצה החברה בחשבון הטוויטר הרשמי של הפלטפורמה כי קמפיין פישינג רוחבי מכוון נגד משתמשים רבים במערכת, תוך ניסיון לשטות בהם להזין פרטי כניסה אליה על מנת לגנוב אותם. מדוח טכני שפרסמה חברת אבטחת המידע Checkmarx עולה כי ישנו מתאם (קורלציה) בין קמפייני הפישינג לבין החבילות הזדוניות עליהן דווח כי התווספו לאחרונה לפלטפורמה והוסרו ממנה, כאשר המכנה המשותף לשני הקמפיינים הוא דומיין זדוני אליו מתבצעת התקשרות מצד הקורבן במטרה להוריד קובץ זדוני לתחנה הנתקפת. נכון לכתיבת שורות אלה, 15 תוכנות אבטחה מזהות את הקובץ כזדוני ב-VirusTotal.

בית החולים CHSF שמדרום לפריז חווה מתקפת כופרה ועובר לפעילות ידנית; התוקפים דורשים כופר בסך 10 מיליון דולר 

ב-21 באוגוסט בשעה 1:00 לפנות בוקר, אחד מבתי החולים הגדולים במחוז איל-דה-פרונס, השוכן בקורביי-אסון שבקרבת פריז, גילה כי הוא מצוי תחת מתקפת כופרה. כתוצאה מהמתקפה נפגעו מערכות ה-IT של המוסד, המכיל יותר מ-1,000 מיטות חולים (לצורך השוואה, במרכז הרפואי ״איכילוב״ יש 1,080 מיטות אשפוז), אך ככל הנראה ללא פגיעה בציוד הרפואי (OT). עד כה ידוע כי בית החולים עבר למצב חירום ואין לו גישה למערכות ה-IT, לרבות לתיקים הרפואיים של מטופליו. אי לכך, הטיפול הרפואי וקליטת מטופלים עברו למתכונת ידנית, חדרי המיון פועלים במתכונת מצומצמת, חולים הזקוקים לטיפול דחוף או שהטיפול בהם מצריך גישה לתיק הרפואי שלהם מועברים לבתי חולים ציבוריים אחרים, אין גישה למערכות אחסון מידה, ובפרט לאלה הקשורות למערכות הדמיה (CT, רנטגן, MRI ועוד), וחלק מהניתוחים האלקטיביים נדחו. ב-24 באוגוסט, כשלושה ימים לאחר התקיפה, פרסם בית החולים בקשה שלא להגיע באופן עצמאי לחדר המיון שלו. במקביל, המוסד הזעיק צוותים לניהול המשבר, בהם סוכנות הבריאות האזורית, הסוכנות הלאומית הצרפתית לביטחון מערכות מידע (ANSSI) והמרכז להגנת סייבר C3N של הז׳נדרמריה, שקיבל את האחריות על החקירה. בעוד שהתוקפים מאיימים שאם לא ישולם להם הכופר הנדרש הם יפרסמו מידע ממערכות המוסד, בצרפת חל על גופים ציבוריים איסור לשלם כופר, דבר המעמיד את הבית חולים בדילמה קשה. למרות שטרם התבררה זהותה של קבוצת התקיפה, ישנן הערכות שמדובר ב-LockBit 3.0, כך לדברי כתב הסייבר הצרפתי ולרי רייס-מארשיב. עיתוי המתקפה גרוע במיוחד עבור הצרפתים, שרבים מהם שוהים כעת בחופשתם השנתית. עובדה זו תקשה, ככל הנראה, על שיקום מערכות בית החולים.

אתר ההדלפות של LockBit חווה מתקפת DDoS בעקבות הפריצה ל-Entrust

בשבוע שעבר נטלה קבוצת התקיפה LockBit אחריות על הפריצה לאתר הבית של חברת אבטחת המידע, וב-19 באוגוסט החלה להדיף את המידע שגנבה מרשתותיה. ואולם, זמן קצר לאחר פרסום הקבצים הבחינו חוקרי אבטחת מידע שאתר ההדלפות של LockBit אינו זמין ברשת ה-Tor. ב-22 באוגוסט צוות של חוקרי אבטחת מידע מ-vx-underground יצר קשר עם נציג קבוצת התקיפה ולמד ממנו כי אתר הקבוצה חווה מתקפת מניעת שירות (DDoS) שלדבריו קשורה לפריצה ל-Entrust. בתגובה לשאלה מדוע הוא חושב כך, סיפק הנציג תמונה של לוגים המראים כי במהלך המתקפה נשלח מספר רב של בקשות HTTP שהכילו את התוכן "DELETE_ENTRUSTCOM_MOTHERFUCKERS". עוד ציין הנציג כי המתקפה החלה מיד לאחר הדלפת המידע באתר ותחילת המשא ומתן עם החברה שנפרצה.