דו״ח סייבר שבועי
9.1.2022-13.1.2022
עיקרי הדברים
-
ארצות הברית: מתקפת כופרה נועלת בית כלא בניו מקסיקו.
-
פיקוד הסייבר האמריקאי חושף תוכנות זדוניות של קבוצת ההאקרים האיראנית MuddyWater.
-
חברת Salesforce תחייב את משתמשיה ליישם מנגנון אימות רב-שלבי החל מפברואר. תותחים.
-
קבוצת התקיפה FIN7 שלחה לחברות אמריקאיות אמצעי USB זדוניים במסווה של מתנות להדבקת ארגונים בנוזקות.
-
*אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Microsoft (קריטי); פלטפורמת WordPress; מוצרי Adobe (קריטי); דפדפן Firefox (גבוה); iOS ו-iPadOS (גבוה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-WordPress נותן מענה ל-4 חולשות
מיקרוסופט מדווחות על חולשה במערכת ההפעלה macOS שכבר תוקנה
עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-98 חולשות, בהן 6 חולשות Zero-day ו-8 חולשות קריטיות
עדכון אבטחה רחב למוצרי Adobe
עדכון אבטחה ל-Firefox נותן מענה ל-18 חולשות, 9 מהן ברמת חומרה גבוהה
עדכון אבטחה ל-iOS ו-iPadOS נותן מענה למתקפות DDoS
עדכון תוכנה פותר באג במערכות הגנת סביבת המייל של SonicWal
התקפות ואיומים
גרסה זדונית של dnSpy הופיעה ברחבי הרשת
נוזקת FluBot משודרגת צוברת תאוצה ומדביקה משתמשי אנדרואיד
קבוצת התקיפה FIN7 שלחה לחברות אמצעי USB זדוניים במסווה של מתנות כדי להדביק ארגונים בנוזקות
קבוצת התקיפה האיראנית Charming Kitten מנצלת חולשות Log4j עבור יצירת Backdoor ב-PowerShell
כ-50 משתמשים מקצועיים של המשחק FIFA נפרצו באמצעות הנדסה חברתית שבוצעה על שירות הלקוחות של EA
ה-FBI מזהיר מפני הונאות באימותים קוליים של Google
קמפיין חדש של נוזקת Zloader פוגע ביותר מ-2,000 קורבנות ב-111 מדינות
Cloudflare: עלייה של 29% במתקפות כופרה המשולבות במתקפת מניעת שירות (DDoS)
קמפיין תקיפה חדש משתמש בתשתיות ענן להפצת נוזקות מסוג RAT
נחשפה נוזקת Backdoor הפועלת במערכות Windows ,Mac ו-Linux
פיקוד הסייבר האמריקאי חושף תוכנות זדוניות של קבוצת ההאקרים האיראנית MuddyWate
השבוע בכופרה
חברת הטלקום Subex וחברת אבטחת המידע Sectrio חוות מתקפת כופרה
קבוצת התקיפה AvosLocker פרסמה וריאנטים חדשים של כופרות המתמקדות במערכות הפעלה של שרתים וירטואליים
מי אתה, Wazawaka?
ארה״ב: מתקפת כופרה נועלת בית כלא בניו מקסיק
סייבר בעולם
Salesforce תחייב את משתמשיה ליישם מנגנון אימות רב-שלבי
מיקרוסופט מגייסת עשרות מומחים בישראל לשם תקיפת Windows
ה-FBI, ה-CISA וה-NSA מזהירות מפני תוקפים רוסיים המתמקדים בתשתיות קריטיות
גורמים ליברליים בפרלמנט האיחוד האירופי מבקשים לחקור את השימוש בתוכנות ריגול ישראליות
דוח הפורום הכלכלי העולמי: העולם אינו עומד בקצב התפתחות הטכנולוגיה וצפוי להיות מוצף בפגיעות
כנסים
הציטוט השבועי
״שתי מגמות מהשנה החולפת עשויות להשפיע על מפת אירועי הסייבר גם ב-2022: המערכה בין ארצות הברית ושותפותיה לבין חבורות הכופרה; החזרה לשגרת החיים של לפני הקורונה לתהליכי הדיגיטציה המואצים של ממשלות וחברות, שיובילו לשילוב בין פגיעויות ישנות לחדשות.״
- אל״מ (מיל.) שי שבתאי, יועץ אסטרטגי בכיר, קונפידס. סיכום שנת 2021 בסייבר, ״הארץ״, 09.01.2022.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-WordPress נותן מענה ל-4 חולשות
העדכון רלוונטי לגרסאות 3.7 עד 5.8 של המוצר וסוגר חולשות אשר עלולות לאפשר ביצוע מתקפות XSS, הזרקת אובייקט זדוני לקוד והזרקת שאילתת SQL.
צוות קונפידס ממליץ למשתמשי WordPress לעדכן את המוצר שברשותם לגרסתו האחרונה - 5.8.3.
מיקרוסופט מדווחות על חולשה במערכת ההפעלה macOS שכבר תוקנה
במחקר שפרסמה השבוע החברה נחשפת חולשה (CVE-2021-30970) המאפשרת גישה שאינה מורשית לקבצים במחשב, ללא צורך בהזדהות. לחולשה טרם הוענק ציון CVSS, אך היא נסגרה בעדכון התוכנה האחרון של Apple, שפורסם בדצמבר.
עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-98 חולשות, בהן 6 חולשות Zero-day ו-8 חולשות קריטיות
חלק מהחולשות שנסגרו בעדכון האבטחה החודשי הראשון של החברה לשנת 2022 מאפשרות לתוקף לגשת להרשאות גבוהות ולהריץ מרחוק קוד ב-HTTP.sys, המנתב פניות HTTP לשרת, כאשר כל שרת שיקבל פניה מהפרוטוקול יהיה חשוף למתקפה. אחת מהחולשות הקריטיות (CVE-2022-21849, CVSS 9.8) שטופלה בעדכון מאפשרת הזרקת קוד מרוחק ללא הזדהות. העדכון רלוונטי, בין היתר, לשרתי Exchange ו-Share Point. את רשימת החולשות המלאה ניתן למצוא כאן.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות וליישם את המלצות האבטחה שפרסמה מיקרוסופט.
עדכון אבטחה רחב למוצרי Adobe
העדכון, שפורסם השבוע, נותן מענה לעשרות חולשות אבטחת מידע, לרבות במוצר ה-Acrobat Reader הפופולרי, בו תוקנו 26 חולשות, 17 מהן ברמת חומרה קריטית.
עוד פרסמה החברה עדכוני תוכנה לאפליקציות הבאות:
Adobe InDesign - גרסה 16.4 ומטה
Adobe Bridge - גרסה 12.0 וגרסה 11.1.2 ומטה
Illustrator 2022 - גרסה 26.0.1 ומטה
Illustrator 2021 - גרסה 25.4.2 ומטה
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה ל-Firefox נותן מענה ל-18 חולשות, 9 מהן ברמת חומרה גבוהה
החולשות שהתגלו בדפדפן עלולות לאפשר לתוקף לבצע פעולות זדוניות שונות, כגון מעקף של מנגנוני אבטחת אתרים, הרצת קוד מרחוק ושליטה בעמדה פגיעה.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם בהתאם להוראות היצרן, ולעקוב אחר עדכונים נוספים, אשר יפורסמו באופן שוטף.
עדכון אבטחה ל-iOS ו-iPadOS נותן מענה למתקפות DDoS
העדכון שפרסמה Apple ב-12 בדצמבר סוגר חולשה המצויה ב-Framework המכונה HomeKit, אשר נוגע לניהול מכשירי IoT בבתיהם של משתמשי אייפונים ואייפדים. החולשה (CVE-2022-2258), לה ניתן השם doorLock, גלומה ב-API של HomeKit ועלולה לאפשר לתוקף להביא ל״מיצוי משאבים״ על ידי העברת ערך של יותר מ-500 אלף תווים, מה שיגרום לקריסתם של מכשירי IoT. חמור מכך, במידה שנתוני ה-HomeKit נשמרים בחשבון ה-iCloud, הסנכרון בין הטלפון ל-iCloud עלול להוביל לקריסה אינסופית של המכשירים, עד לביצוע איפוס להגדרות היצרן. עוד ניתן לנצל את החולשה להפצת כופרות.
צוות קונפידס ממליץ לבעלי iOS ו-iPadOS המשתמשים באפליקציה זו לעדכן את המוצרים לגרסתם האחרונה (15.2.1).
עדכון תוכנה פותר באג במערכות הגנת סביבת המייל של SonicWall
השבוע הודיעה חברת התוכנה כי החל מה-1 בינואר לקוחות מדווחים על תקלות בגישה ל״דואר הזבל״ או בהוצאת מיילים מתיקייה זו. הבאג קיים במערכות הגנה שונות של היצרנית, אך לכל הגרסאות הפגיעות כבר קיים עדכון תוכנה רלוונטי:
.אין צורך בנקיטת פעולה - Hosted Email Security
.זמינה להורדה ES 10.0.15 גרסה - Email Security Appliance
Firewall Anti-Spam Junk Store:
.גרסה 7.6.9 זמינה להורדה - SonicOS 6.x
.הבאג אינו משפיע על המוצר - SonicOS 7.x
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהתאם.
התקפות ואיומים
גרסה זדונית של dnSpy הופיעה ברחבי הרשת
קבוצת חוקרי אבטחת המידע MalwareHuntingTeam דיווחה על גילויה של גרסה של הכלי הכוללת כמה תוספות לא צפויות. בציוץ בטוויטר טוענת הקבוצה כי הגרסה הזדונית של הכלי, הנפוץ בקרב חוקרי אבטחת מידע, הועלתה לחשבון GitHub על ידי משתמש שאף רכש דומיין בו הקים, ככל הנראה, אתר המכיל לינקים להורדתה. האתר קודם באופן ממומן במנועי חיפוש רבים, ובתוצאות של חיפוש הערך ״dnSpy״ בגוגל הוא מופיע במקום השני. בעת הרצת הקובץ הזדוני dnSpy.dll ייטען לזיכרון העמדה קובץ נוסף, dnSpyPlus.exe, שיריץ יותר מ-17 שורות קוד זדוניות, אשר יורידו אל העמדה נוזקות ויצרו משימות מתוזמנות, בעיקר זדוניות. הקובץ מכיל דגמים רבים ומגוונים של נוזקות, בהן גם הכלי Quasar RAT v1.4, המקנה לתוקף שליטה מרחוק על עמדה שהודבקה. השרשור שהתפתח בטוויטר כולל כעת תגובה שם אדם אשר ככל הנראה הוריד את הגרסה הזדונית לעמדתו, אך מסתמן כי מרבית הנוזקות הללו כבר נצפו בעבר, ונכון לשעה זו לא נראה שהקובץ מכיל נוזקה ייחודית או בלתי מוכרת. זאת ועוד, חלק מנתיבי ההורדה של הנוזקות לא רשמו כל פעילות. לעת עתה, הרושם שנוצר הוא של השקעה גדולה של משאבים בעבור הורדת כמה נוזקות בהיקף חסר חשיבות, להבדיל ממזימה מחושבת ומדוקדקת, כמצופה מתוקפים המכוונים את פעולותיהם כנגד אנשי אבטחת מידע.
נוזקת FluBot משודרגת צוברת תאוצה ומדביקה משתמשי אנדרואיד
הנוזקה, המוכרת היטב לחוקרי אבטחת מידע, שודרגה על ידי מפתחיה ליצירת גרסה מתוחכמת יותר, במטרה להגדיל את מספר הקורבנות שיורידו אותה למכשיריהם. FluBot, אשר לאחרונה מנסה להתחזות לאפליקציית Flash Player, מפיצה עצמה באמצעות Smishing - פישינג דרך הודעות SMS הקוראות לנמען להוריד את התוכנה. משתמש המציית לקריאה מובל לאתר בו הוא מוריד קובץ APK אשר מתקין על מכשירו את התוכנה המתחזה. מרגע ההתקנה התוקפים נהנים מגישה למידע רגיש ולביצוע פעולות שונות במכשיר, החל מצילום מסך וכלה בגניבת פרטי גישה לאפליקציות בנקאיות. כמו כן, רשימת אנשי הקשר של הקורבן מועברת לשרת C2 ומופצת באמצעות Smishing גם אליהם. יכולותיה המתקדמות של גרסת ה-FluBot המשודרגת כוללות גם מחיקת אפליקציות קיימות בטלפון, ביצוע שיחות דרכו, לכידת הודעות טקסט נכנסות (להשגת קודים של OPT, למשל), קביעת מצב Disable ל-Play Protect ועוד.
צוות קונפידס ממליץ למשתמשי מכשירים מבוססי אנדרואיד להיזהר מקישורים חשודים המתקבלים ב-SMS ולעולם לא להוריד אפליקציות שלא דרך Google Play.
קבוצת התקיפה FIN7 שלחה לחברות אמצעי USB זדוניים במסווה של מתנות כדי להדביק ארגונים בנוזקותהדבר הובא לידיעת החברות שהיוו מטרה למתקפה על ידי ה-FBI. התוקפים, הפועלים למטרות רווח, השתמשו בשירותי הדואר הרשמיים של המדינה לצורך משלוח החבילות, שהחלו להגיע ליעדיהן באוגוסט אשתקד. לרוב, המכשירים נשלחו בחבילות של חברת Amazon, אשר כללו גם כרטיסי מתנה מזויפים וכרטיסים עם הקדשה, שהשתנתה בהתאם לזהות המקבל. לאחר חיבור מכשיר ה-USB למחשב הוא מזדהה כמקלדת, מה שמאפשר לו לפעול גם במערכות החוסמות מכשירי USB. לאחר מכן המכשיר מריץ פקודות ב-PowerShell ומוריד אל המחשב נוזקה, כל זאת במטרה להקנות ל-FIN7 גישה מלאה אל מערכת ורשת הקורבן.
קבוצת התקיפה האיראנית Charming Kitten מנצלת חולשות Log4j עבור יצירת Backdoor ב-PowerShell
מחלקת המחקר של צ׳ק פוינט דיווחה כי הקבוצה, הידועה גם כ-APT35, ניצלה את הפגיעות (CVE-2021-44228) לפני ששוחררו עדכוני האבטחה לספרייה הרלוונטית. על פי הדיווח, ניצול החולשה מתבצע באמצעות פקודת PowerShell ששולפת את המודול CharmPower מדלי S3 של Amazon. מודול זה מסוגל לוודא חיבור אינטרנט פעיל על ידי שליחת בקשת HTTP POST ל-google.com עם הפרמטר "hi=hi", לאסוף מידע בסיסי על המערכת (גרסת מערכת ה-Windows, שם המחשב ותכולת הקובץ Ni.txt המצוי ב-APPDATA$), לגשת לדומיין ה-C&C שנשלף מאותו דלי S3 ולהוריד מודולים נוספים. המודולים הנוספים מסוגלים לאסוף מידע על האפליקציות המותקנות במחשב, לבצע צילומי מסך ולשלוח אותם לשרת FTP מרוחק, לאסוף מידע על תהליכים הרצים על העמדה, להריץ פקודות ב-cmd וב-PowerShell ואף למחוק עקבות שהותירו אחריהן פעולות אלה.
כ-50 משתמשים מקצועיים של המשחק FIFA נפרצו באמצעות הנדסה חברתית שבוצעה על שירות הלקוחות של EA
על פי ציוץ של אחד הקורבנות, נראה כי התוקפים יצרו עשרות פניות לשירות הלקוחות של החברה דרך מערכת ה-Livechat, דבר אשר גרם לנציגי השירות לדלג על סדר הפעולות המקובל ולהיענות לבקשת התוקפים לשנות את כתובות המייל של חשבונות מסוימים לכתובות שמסרו, כל זאת ללא בקשת הזדהות. מ-EA נמסר כי החברה עומלת על השבת השליטה על החשבונות לבעליהם, וכי תעביר הכשרות מחודשות לכלל נותני השירות הפועלים בשורות החברה, בדגש על טכניקות פישינג, כפי שאירע במקרה הנוכח
ה-FBI מזהיר מפני הונאות באימותים קוליים של Google
שירות האימות הקולי של החברה מאפשר למשתמשים להגן על חשבונותיהם ועל המידע האישי שלהם מפני גישה שאינה מאושרת באמצעות שימוש במנגנון זיהוי קולי. ואולם אזהרת ה-FBI, שפורסמה ב-4 בינואר, חשפה כי בתקופה האחרונה נרשמה עלייה בהונאות בתחום האימותים הקוליים, להן יכולים ליפול קורבן גם אנשים שאינם משתמשים בשירות. לרוב, הקורבנות הם כאלה החושפים את מספר הטלפון הסלולרי האישי שלהם באתרים למכירת חפצים מיד שנייה או כאלה המפרסמים מודעות אודות בעלי חיים שאבדו. התוקף מצידו יוצר קשר עם הקורבן במייל או בהודעת טקסט, בטענה כי הוא מעוניין במוצר שפורסם או שמצא את בעל החיים האובד. לאחר מכן הוא מבקש ״הוכחה״ לכך שהקורבן הוא אדם אמיתי, על ידי כך שהוא מבקש ממנו להקריא בקולו קוד שאותו שולח התוקף לטלפון הנייד של הקורבן דרך שירות של Google. בפועל, התוקף מפעיל את האימות הקולי בחשבון Google Voice על שם הקורבן עם מספרו האמיתי של הקורבן, ולאחר שהקורבן מספק לו את קוד האימות - התוקף יכול להשתמש בחשבון Google Voice זה כדי לבצע מספר בלתי מבוטל של הונאות נוספות מבלי שאלה יובילו אליו (שכן המספר בו המשתמש הינו בבעלות הקורבן).
צוות קונפידס ממליץ לבעלי חשבונות Google שלא לשתף הודעות או פרטי אבטחה אחרים עם אף אדם אחר, וכן לעקוב אחר הוראותיה של Google בנוגע לאבטחת חשבונכם. במידה ונפלתם קורבן למקרה הונאה מסוג זה, יש לעקוב אחר ההנחיות של Google להשבתת החשבון שבבעלותכם, המופיעות כאן.
קמפיין חדש של נוזקת Zloader פוגע ביותר מ-2,000 קורבנות ב-111 מדינות
חוקרים מחברת צ׳ק פוינט חשפו את הקמפיין שמפיצה הנוזקה, תוך שהיא מנצלת את תהליך האותנטיקציה בו משתמשת מיקרוסופט, המתבסס על חתימה דיגיטלית. בשלב הראשון, התוקפים מצליחים לעבור את מנגנוני האבטחה של מערכת ההפעלה באמצעות הזרקת קוד זדוני לקובץ DLL חתום ולגיטימי. לאחר מכן הם מדביקים בנוזקה את העמדה הנתקפת על ידי התקנת אייג׳נט של תוכנת Atera הלגיטימית, המאפשרת שליטה ובקרה מרחוק של עמדות, כאשר לקובץ ההתקנה שבו התוקפים משתמשים מוזרק קוד זדוני. לצורך הקמפיין, התוקפים יצרו קובץ MSI ייחודי לתוכנה, המשייך אותה לכתובת המייל של התוקף ומתקין את Atera ביחד עם הקוד הזדוני של הנוזקה. הדבר מאפשר לתוקפים גישה מלאה לעמדה ולמערכת הקורבן, לרבות העלאת והורדת קבצים בחופשיות. אי לכך, בשלב הבא הם מעלים לעמדה שני קבצי הרצה, המאפשרים השגת הרשאות גבוהות ודריסת רגל במערכת. במחקר שפרסמה צ׳ק פוינט מופיעה חקירת התהליך המלאה.
Cloudflare: עלייה של 29% במתקפות כופרה המשולבות במתקפת מניעת שירות (DDoS)
מהדוח שפרסמה החברה בדבר תובנותיה על מתקפות DDoS בשילוב כופרה ברבעון האחרון של 2022, עולה כי ברבעון זה חלה עלייה של 29% במתקפות אלה ביחס לאותו רבעון בשנת 2020, ועלייה של 175% בהשוואה לרבעון השלישי השנה. במתקפה משולבת מסוג זה, לקוחות עשויים לחוות DDoS במקביל לבקשת התוקפים לתשלום דמי כופר עבור הפסקת המתקפה. בסקר שערכה החברה דיווחו 22% מהנשאלים כי קיבלו מכתב באמצעותו נדרשו דמי כופר. בסקר נוסף שנערך בדצמבר האחרון, אחד מכל שלושה משיבים דיווח כי נתקף במתקפה מסוג זה או אוים על ידי האקר שמתקפה כזו תבוצע. במתקפות המתרחשות בשכבת האפליקציה נפגעה ברבעון הרביעי של 2021 בעיקר תעשיית הייצור, ואחריה תעשיות השירותים העסקיים ותעשיית המשחקים/הימורים. כמו כן, בפעם הרביעית ברציפות דורגה סין בראש טבלת המדינות מהן יוצאת התעבורה הגדולה ביותר של מתקפות מסוג זה, ואחריה ארצות הברית, ברזיל והודו. בגזרת מתקפות ה-DDoS בשכבת הרשת, מספר התקיפות ברבעון הרביעי היה הרב ביותר בשנה החולפת, ומספר המתקפות מסוג זה שנצפו בדצמבר בלבד גבוה יותר מסך כל המתקפות מסוג זה שבוצעו ברבעון השני וכמעט שווה למספרן של אלה שבוצעו ברבעון הראשון. זאת ועוד, מספר התקיפות בשכבת הרשת שמקורן במולדובה גדל פי 4 בהשוואה לרבעון הקודם. בכך מולדובה הופכת למדינה ממנה מגיע נתח התעבורה הגדול ביותר המעיד על ביצוע מתקפות DDoS בשכבת הרשת. נתון מעניין נוסף הוא זה לפיו ברבעון האחרון של 2021 98% מבין כל המתקפות בשכבת הרשת נמשכו פחות משעה. נוסף על כך, ככל שמספר המתקפות עלה - הן נמשכו פחות זמן. וקטורי התקיפה המועדפים בשכבה הזו היו, לפי הסדר, מתקפות SYN Flood, מתקפות UDP Flood ולבסוף SNMP.
צוות קונפידס ממליץ לחברות להטמיע במערכותיהן מוצר המבצע ניטור תמידי ומתמשך, כולל חקירה של תעבורת רשת בזמן אמת וחסימה בזמן אמת של התקפות מסוג זה.
קמפיין תקיפה חדש משתמש בתשתיות ענן להפצת נוזקות מסוג RAT
Talos, צוות מודיעין הסייבר של Cisco, גילה באוקטובר האחרון את הקמפיין הזדוני, המפיץ גרסאות שונות של הנוזקות Nanocore ,Netwire ו-AsyncRAT, כולן מסוג (RAT (Remote Access Tool ומאפשרות יכולות מתקדמות של שליטה מלאה מרחוק על עמדות נגועות, לרבות הרצת קוד מרחוק וגניבת מידע מקורבנות. עוד דיווח Talos כי גורמים זדוניים במרחב הסייבר מגבירים את השימוש בטכנולוגיות ענן כדוגמת AWS ו-Azure כדי לעקוף את הצורך בהקמת תשתית משלהם להפצת הנוזקות. שירותים אלה מאפשרים לתוקפים להקים תשתית תקיפה חדשה ולחברה לרשת תוך פרק זמן קצר יחסית, בעוד שתשתיות שאינן מסוג זה דורשות השקעה מרובה יותר. זאת ועוד, דרך הפעולה החדשה מקשה אף יותר על שירותי ההגנה השונים לבצע מעקב אחר תשתיות ופעולות קבוצות התקיפה. מתווה התקיפה הראשוני של הקבוצות שנחקרו על ידי Talos במחקר הנוכחי התבסס על הודעות פישינג שהועברו דרך מייל עם קובץ ZIP מצורף, שהכיל קובץ ISO עם קוד זדוני בתצורת JavaScript, או קובץ Batch זדוני שנתמך על ידי גרסאות של Windows, או סקריפט זדוני של Visual Basic. בהרצה ראשונית של הקוד הזדוני, הוא מתקשר ישירות עם שרת מסוג Azure או AWS EC2 להורדת השלב השני של התקיפה, הכולל את אותם כלי RAT שאפשרו לתוקף להשיג שליטה מלאה על העמדה הנתקפת באמצעות שרתי C2, אשר תקשרו עם הנוזקה ואפשרו הרצת פקודות מרחוק וגניבת מידע. דרך פעולה זו יעילה ביותר, מהסיבה הבאה: מכיוון שמערכות הגנה מסוימות יודעות לחסום גלישת משתמשים לדומיינים של קבוצות תקיפה שונות, באמצעות תשתיות הענן יכולים התוקפים להחליף את התשתית שבה נעשה שימוש להורדת השלב השני של התקיפה, ובכך לחזור לפעולה מחודשת מהר מן הרגיל.
(מקור: Cisco Talos, Nanocore, Netwire and AsyncRAT spreading campaign uses public cloud infrastructure, 12.1.22.)
נחשפה נוזקת Backdoor הפועלת במערכות Windows ,Mac ו-Linux
הנוזקה, לה הוענק השם SysJoker לאחר שנחשפה השבוע על ידי חברת Intezer, מסווה עצמה כעדכון מערכת, ולדעת החוקרים נוצרה לשם פגיעה במטרות ספציפיות. הנוזקה ניגשת לשרת ה-C&C שלה באמצעות טקסט הנשלף מקובץ שמאוחסן בשירות ה-Drive של Google, כאשר במהלך חקירת פעולתה כתובת ה-C2 השתנתה שלוש פעמים, מה שמצביע על תוקף אקטיבי המנטר את המחשבים הנגועים. דרך הפעולה של הנוזקה זהה עבור שלוש מערכות ההפעלה, והיא מסוגלת לאסוף מידע על מחשבי הקורבן, להריץ פקודות ולהוריד ולהתקין Payloads נוספים, כל זאת לפי פקודות משרת ה-C&C.
פיקוד הסייבר האמריקאי חושף תוכנות זדוניות של קבוצת ההאקרים האיראנית MuddyWater
כוח המשימה הלאומי של פיקוד הסייבר האמריקאי (CNMF) זיהה כלים מרובים בקוד פתוח המשמשים את הקבוצה לצורכי ריגול וביצוע פעולות זדוניות. לדבריו, MuddyWater נצפתה משתמשת במגוון טכניקות לשימור גישה לרשתות קורבנותיה, לרבות שימוש בקבצי side-loading DLL במטרה להערים על תוכנות לגיטימיות כך שיפעילו תוכנות זדוניות, ושתילת הקבצים בסקריפטים מסוג PowerShell על מנת להסתיר פונקציות פקודה ובקרה. ה-CNMF הפיץ דוגמאות של תוכנות זדוניות המיוחסות ל-MuddyWater במנוע חיפוש ייעודי של VirusTotal. בתוך כך, הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) מעודדת חברות וארגונים לעיין בהודעה לעיתונות שפרסם ה-CNMF, לקבלת מידע נוסף בנושא.
השבוע בכופרה
חברת הטלקום Subex וחברת אבטחת המידע Sectrio חוות מתקפת כופרה
קבוצת התקיפה Ragnar Locker טוענת כי במתקפה על Subex ועל חברת הבת שלה הצליחה לגנוב מהשתיים מידע רגיש, ואף פרסמה באתר ההדלפות שלה ברשת האפלה קישור ״onion.״ המכיל, לכאורה, מידע חיוני על החברה ועובדיה. עוד דיווחה הכנופייה כי במהלך המתקפה עלה בידה לגשת להגדרות של מוצרים כמו Firewall, נתבים ו-VPNs, ולסיסמאות ומסמכים אישיים של עובדי החברה. מומחי סייבר מעריכים כי Ragnar Locker מנסה ללעוג לחברות על ידי חשיפת חולשות האבטחה שלהן, ואולם Subex טוענת באתר האינטרנט שלה כי ברשותה פתרונות אבטחת הרשת הטובים ביותר וכי היא נוקטת בגישה פרואקטיבית הנותנת מענה לווקטורי תקיפה שונים ולאיומים פוטנציאליים.
קבוצת התקיפה AvosLocker פרסמה וריאנטים חדשים של כופרות המתמקדות במערכות הפעלה של שרתים וירטואליים
קבוצת התקיפה, אשר ככל הנראה החלה את פעילותה בקיץ האחרון, פרסמה לפני מספר חודשים גרסאות חדשות לכופרות שברשותה, המתמקדות במערכת ההפעלה VMware ESXi, והזהירה את שותפותיה לבל תתקופנה מטרות סובייטיות או כאלה שיש להן קשר לחבר המדינות (CIS). ״הגרסאות החדשות שלנו הינן הטובות ביותר עבור שני העולמות: ביצועים גבוהים ואופציה להצפנת נתונים רבים בהשוואה למתחרים״ֿ, כך צייצה AvosLocker בטוויטר. ההתמקדות במכונות וירטואליות (VMs) מאפשרת לכופרה להצפין במהירות גבוהה יחסית ובאמצעות פקודה אחת בלבד נתונים המצויים בשרתים רבים. לאחר החדירה למערכות הקורבן, הכופרה מבצעת כיבוי של כל מכונות ה-ESXi, מצרפת את הסיומת ״avoslinux.״ לכל הקבצים שהוצפנו ומשחררת הודעות הקוראות לקורבן שלא לכבות את המחשב, על מנת למנוע השחתת קבצים. עוד ממליצות ההודעות לבקר באתרי Onion לשם קבלת פרטים נוספים אודות אופן תשלום דמי הכופר. נכון לשעה זו, ידוע על קורבן אחד לפחות שנפגע מגרסתה החדשה של הכופרה, ונדרש לשלם מיליון דולר עבור מפתח ההצפנה. ״הסיבה לכך שרוב קבוצות התקיפה מפתחות גרסאות מבוססות Linux לנוזקותיהן היא רצונן להתמקד ב-VMware ESXi VMs״ הסביר פביין ווסר, מנכ״ל חברת Emsisoft.
מי אתה, Wazawaka?
המשתמש Wazawaka לקח חלק פעיל במיוחד במספר פורומי פשיעת סייבר במהלך העשור האחרון, אך האהוב עליו ביותר הינו הפורום בשפה הרוסית Exploit. את ימיו הראשונים בפורום זה ואחרים בילה המשתמש במכירת מתקפות המשמשות למניעת שירות (DDoS), אך בשנים האחרונות המתמקד בקבלת גישה לארגונים ובמאגרי נתונים גנובים. על פי המידע המצוי בפורום Exploit, נראה כי Wazawaka משתמש בשני סוגי נוזקות לפחות, בהן הכופרה LockBit. לדבריו, מפתחי הכופרה שילמו לו עמלות בגובה כחצי מיליון דולר בספטמבר האחרון. עוד מסר כי חבר לקבוצת התקיפה DarkSide, אשר הייתה אחראית למחסור בדלק ולעליות מחירים בארצות הברית עקב המתקפה על חברת Colonial Pipeline אשתקד. ככל הנראה, Wazawaka אימץ את התפיסה לפיה כאשר קורבן מסרב לשתף פעולה עם תוקפיו ולשלם להם דמי הכופר, כדאי לפרסם למכירה את המידע שנגנב ממנו בפורומי פשיעת סייבר ברוסיה, לכל המרבה במחיר. לאורך השנים נראה כי Wazawaka נקשר למספר כתובות מייל ולכינויים שונים בפורומי פשיעת סייבר רוסיים, אך נתונים שנאספו על ידי חברת אבטחת הסייבר Constella Intelligence מראים כי השתמש תמיד באחת מארבע כתובות המייל הבאות: wazawaka@yandex[.]ru ,mixseo@mail[.]ru ,mixseo@yandex[.]ru ,mixfb@yandex[.]ru.
ארה״ב: מתקפת כופרה נועלת בית כלא בניו מקסיקו
המתקפה, שהתרחשה בשבוע שעבר בבית סוהר באזור העיר אלבקרקי, הותירה את המוסד ללא גישה לעדכוני המצלמות המוצבות במקום והשביתה את מנגנון הדלתות האוטומטיות. כתוצאה מכך, אסירים הוכנסו לסגר מלא בתאיהם ופעילות מערך הביקורים הושהתה במלואה. נוסף על כך, שלטונות המחוז הוציאו הודעת חירום לפיה כתוצאה מהמתקפה לא היה זמין מסד הנתונים המכיל את כל הדיווחים אודות אירועים שונים, בהם שימוש בכוח ותקיפות מיניות. מתקפה זו מהווה חלק משורת מתקפות על מחוז ברנליאו (Bernalillo), המאוכלס במחוזות מדינת ניו מקסיקו, כאשר ב-5 בינואר נמנעה מעובדי המחוז גישה למאגרי מידע של הממשל המקומי, וכל המשרדים הציבוריים השוכנים בו נסגרו באופן זמני.
סייבר בעולם
Salesforce תחייב את משתמשיה ליישם מנגנון אימות רב-שלבי
החל מפברואר הקרוב, משתמשי הפלטפורמה הפופולרית לניהול קשרי לקוחות יחויבו להשתמש במנגנון MFA על מנת לגשת למוצרי החברה, כך עולה ממסמך שפרסמה. עוד מסרה החברה כי ״אמון הלקוחות נמצא בראש סדר העדיפויות שלנו. משטח התקיפה הגלובלי ממשיך לגדול והטמעת אמצעי אבטחה חשובה כיום לאין שיעור ביחס לעבר״. Salesforce תתמוך במספר מתודות ליישום MFA, בהן Salesforce Authenticator ,Google Authenticator ,Microsoft Authenticator ,Authy מפתחות אבטחה התומכים ב-WebAuthn או ב-U2F, וכן ואמצעי אימות מובנים, כגון Apple Touch ID and Face ו-Windows Hello. מנגד, לא יתאפשר שימוש בפתרונות אימות רב-שלבי הנשענים על שליחת קוד חד-פעמי באמצעים שונים (מייל, מסרון, שיחת טלפון), משום שלדברי החברה שיטות אלה פגיעות לתקיפות מסוגים שונים. עוד מסרה Salesforce כי היא מעודדת משתמשים להירשם למנגנוני אימות רב-שלבי גם כדי שיהיה בידיהם גיבוי למקרה שישכחו או יאבדו את פרטי שיטת ההזדהות העיקרית בה הם משתמשים. לאור דרישתה החדשה של Salesforce, מערך התמיכה הטכנית של החברה יהיה זמין למשתמשים ללא תשלום נוסף.
מיקרוסופט מגייסת עשרות מומחים בישראל לשם תקיפת Windows
בימים אלה מגייס מרכז המחקר והפיתוח של החברה בארץ עשרות חוקרי וחוקרות אבטחת מידע והגנת סייבר לטובת הקמת קבוצה חדשה, Offensive Security Research, שיתקפו את Linux ,Windows ומערכות משובצות מחשב (Embedded), לצורך איתור ותיקון חולשות ופרצות במערכות ההפעלה. הקבוצה תתחלק ל-4 תתי-קבוצות - קריפטוגרפיה, ניהול רכיבים, פיתוח AppGuard וניהול מוצר, ותכלול משתתפים בעלי רקע משמעותי בעולמות האבטחה, אנשי מוצר, מנהלים ומהנדסים בדרגת ג׳וניור, אשר שיוכלו לעבוד במקביל באתרי המחקר והפיתוח של החברה בישראל, או באתריה החדשים, שייפתחו בהמשך. בימים הקרובים תוכרז זהותו של ראש הקבוצה החדשה. בראיון ״לאנשים ומחשבים״ אמר אוהד יאסין, מנהל חטיבת פיתוח ב-Azure בתחומי הבינה המלאכותית, המדיה והאחסון במיקרוסופט ישראל, כי "למרות המילה 'התקפי', הרי שלא מדובר בסייבר התקפי. המטרה שלנו הגנתית: אנחנו תוקפים את עצמנו במטרה לשפר את השירותים המתקבלים בענן שלנו. [...] כל תיקון חולשה שלא יתבצע באופן מדויק עלול להוביל להשלכות רחבות היקף, שישפיעו על אנשים רבים. הגידול בשימוש של ארגונים בענן, כמו גם העלייה בפעילויות אונליין, מעמידים אתגרים חדשים בפני ארגונים מכל סוג וגודל. אנחנו עובדים על מנת לצמצם את היקף הפגיעויות והחשיפות, למנוע אירועי אבטחה – ואנחנו עושים זאת במגוון דרכים. הקמת קבוצת התקיפה הזו היא עוד דרך לטיפול בבעיה". מיקרוסופט ממשיכה להשקיע באבטחה, גם בארץ, ורוכשת ללא ליאות חברות ישראליות בתחומי האבטחה והסייבר. במאי 2020 השלימה את רכישתה החמישית של חברת סייבר מקומית, CyberX, בסכום של כ-170 מיליון דולר. CyberX פועלת בעולמות האינטרנט התעשייתי של הדברים (IIoT) ואבטחת מערכות בקרה תעשייתיות.
ה-FBI, ה-CISA וה-NSA מזהירות מפני תוקפים רוסיים המתמקדים בתשתיות קריטיות
על רקע המתיחות בין ארצות הברית לרוסיה, סוכנויות סייבר ומודיעין אמריקאיות פרסמו ב-11 בינואר את המלצותיהן המשותפות בנוגע לזיהוי, לתגובה ולצמצום משטח התקיפות המתבצעות על ידי תוקפים המקבלים מימון מרוסיה. הסוכנות לאבטחת סייבר ותשתיות (CISA), לשכת החקירות הפדרלית (FBI) והסוכנות לביטחון לאומי (NSA) חשפו את הטקטיקות, את השיטות ואת הנהלים אשר אומצו על ידי קבוצות התוקפים, בהם מתקפות Spear phishing ו-Brute-force וניצול של חולשות ידועות לשם קבלת גישה למערכות הקורבנות. לדברי הסוכנויות, התוקפים הפועלים בחסות ממשלת רוסיה מוכיחים כי יש ביכולתם לבצע תקיפות סייבר מתוחכמות על ידי פגיעה בתשתיות ובתוכנות המנוהלות על ידי גורמים צד ג׳ ופיתוח ופריסה של תוכנות זדוניות מותאמות אישית. עוד מסוגלות קבוצות התקיפה לשמור על אפשרות גישה מתמשכת ובלתי מזוהה למערכות הקורבנות, לרבות מערכות מבוססות ענן. הקבוצות מכוונות את מאמציהן לפגיעה במערכי טכנולוגיה תפעולית (OT) ובמערכות בקרה תעשייתיות (ICS), במטרה לפרוס תוכנות זדוניות, כשיעדיהן העיקריים הם באוקראינה, מגזר האנרגיה בארצות הברית ורשתות הסוכנויות הפדרליות האמריקאיות. הסוכנויות שיתפו בהודעתן את המזהים המשמשים את קבוצות התקיפה:
CVE-2019-2725 (Oracle WebLogic Server), CVE-2018-13379 (FortiGate VPNs), CVE-2019-1653 (Cisco router), CVE-2019-7609 (Kibana), CVE-2019-9670 (Zimbra software), CVE-2019-10149 (Exim Simple Mail Transfer Protocol), CVE-2019-11510 (Pulse Secure), CVE-2019-19781 (Citrix), CVE-2020-0688 (Microsoft Exchange), CVE-2020-4006 (VMware), CVE-2020-5902 (F5 Big-IP), CVE-2020-14882 (Oracle WebLogic), CVE-2021-26855 (Microsoft Exchange), CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.
עוד המליצו הסוכנויות ליישם מנגנוני אבטחה מסוגים שונים (למשל מנגנון הזדהות רב-שלבי [MFA], ניהול פאטצ׳ים, הגדרת סיסמאות חזקות במערכות הארגון ושימת לב מרובה לפעילות חריגה במערכות הארגון), על מנת להפחית ככל הניתן את הסכנה הנשקפת מהמתקפות.
גורמים ליברליים בפרלמנט האיחוד האירופי מבקשים לחקור את השימוש בתוכנות ריגול ישראליות
Renew Europe, הקבוצה השלישית בגודלה בפרלמנט האירופי, קראה להקמת ועדה שתחקור חשד לניצול לרעה של ממשלות האיחוד האירופי על ידי תוכנת הריגול Pegasus, שפותחה על ידי NSO הישראלית. הקריאה הגיעה על רקע דיווחים לפיהם תוכנת הריגול שימשה לפריצה לטלפונים של פוליטיקאים, עורכי דין, עיתונאים ומבקרים של ממשלות הימין בהונגריה ובפולין. עוד הדגישה Renew Europe כי יש לפעול בהמשך להחלטת ממשלת ארצות הברית, אשר בנובמבר האחרון הציבה מגבלות יצוא חדשות על קבוצת NSO, בטענה כי Pegasus נוצלה לצרכי ״דיכוי בינלאומי״. מטרת המהלך היא לדחוף את ישראל להקטין באופן דרמטי את מספר המדינות להן יוכלו חברות מקומיות למכור טכנולוגיות סייבר, וכן להטיל מגבלות חדשות על יצוא כלים ללוחמת סייבר.
דוח הפורום הכלכלי העולמי: העולם אינו עומד בקצב התפתחות הטכנולוגיה וצפוי להיות מוצף בפגיעות
בדוח, המתאר את השפעות הטכנולוגיה על עולם הסייבר, נדונות מספר סוגיות הקשורות לעלייה בשימוש בטכנולוגיה ובדיגיטליזציה. תהליכים עולמיים אלה מלווים בהטמעה של טכנולוגיות חדשות, כדוגמת הגרסה הבאה של האינטרנט, 3.0, המבוססת על טכנולוגיית הבלוקצ׳יין, שימוש נרחב יותר בקריפטוגרפיה, מעבר לטכנולוגיית 5G, נדל״ן דיגיטלי ו-Metaverse. שימוש בטכנולוגיות חדישות, כמו גם בקיימות, מגדיל מדי שנה את סיכוייהם של חברות, ארגונים ואנשים פרטיים ליפול קורבנות למתקפות סייבר. כמו כן, השפעת מגפת הקורונה על תהליך הדיגיטליזציה גרמה לעובדים רבים לעבור לתצורה של עבודה מרחוק, כך שמידע אישי המועבר בין גורמים שונים חשוף יותר לפלטפורמות צד שלישי. תחום הכופרה נדון בהרחבה בדוח זה: עולם הכופרה נמצא בגדילה מתמדת, בעיקר בשל הקלות להיכנס אליו באמצעות צורות ארגוניות כמו Ransom-as-a-Service) Raas), ובעטיו של הסיכוי הקטן להיתפס ולשאת בהשלכות. השכיחות של מתקפות אלה עלה ב-435% במהלך שנת 2020, כאשר השימוש הנרחב במטבעות קריפטוגרפיים לקבלת תשלומי כופר הקל אף הוא על ההחלטה להיכנס לעולם הכופרה. הסיכוי לקבלת סכומי כסף משמעותיים בפלטפורמות קריפטוגרפיות הוא גדול, והסיכוי להיתפס באמצעות מעקב, או שהכסף שנגבה יוחזר לקורבן על ידי הרשויות, הוא קטן.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.