עדכון שבועי 14.04.2022

עדכון אבטחה ל-VMware Horizon במערכות מבוססות Linux

העדכון נותן מענה לשתי חולשות (CVE-2022-22962, CVE-2022-22964) שטרם קיבלו ציון חומרה, ועלולות לאפשר לתוקף בעל הרשאות מקומיות ונמוכות לשנות מיקום של קבצים, לרבות כאלה רגישים המצריכים משתמש Root, ולקבל אליהם גישה. עוד עלולות החולשות לאפשר ניצול של גישה מקומית ל-Horizon Client לקבלת הרשאות גבוהות במערכת (הסלמת הרשאות).

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה (2203).

​

עדכון אבטחה למוצרי Kaspersky נותן מענה לחולשה קריטית

העדכון, אשר יוטמע אוטומטית על ידי היצרן, סוגר חולשה (CVE-2022-27534,  CVSS 9.8) מסוג Code Execution, העלולה לאפשר לתוקף עם הרשאות שאינן גבוהות להריץ קוד מרחוק על עמדת הקורבן. החולשה תקפה למגוון מוצרים מבית Kaspersky, לרבות: 

• Kaspersky Anti-Virus

• Kaspersky Internet Security

• Kaspersky Total Security

• Kaspersky Small Office Security 

• Kaspersky Security Cloud

• Kaspersky Endpoint Security

הגרסאות הפגיעות הן אלה הקודמות לגרסת העדכון שהופצה ב-12 במרץ.
צוות קונפידס ממליץ לבעלי המוצרים לבדוק בהגדרותיהם את תאריך העדכון האחרון של מסד הנתונים בתוכנה, על מנת לוודא שהם מעודכנים.

​

עדכון אבטחה לדפדפן Google Chrome נותן מענה לחולשות ברמת חומרה גבוהה

גרסת הדפדפן האחרונה, שמספרה 100.0.4896.88, סוגרת 10 חולשות שהתגלו במוצר, 8 מהן ברמת חומרה גבוהה, ורובן מסוג Use-After-Free, שמקורו בניהול שגוי של הקצאת הזיכרון במערכת. העדכון רלוונטי למערכת ההפעלה Windows, ובקרוב יפורסמו עדכונים גם עבור מערכות ההפעלה Linux ו-Mac.
צוות קונפידס ממליץ למשתמשי המוצר במערכת ההפעלה Windows לעדכנו לגרסתו האחרונה, ולמשתמשי המוצר במערכות הפעלה אחרות - לעקוב אחר עדכוני החברה ולהטמיעם כשיפורסמו.

​

עדכוני אבטחה לטלפונים ניידים של Samsung ולמערכת ההפעלה Android נותנים מענה ל-55 חולשות, בהן עשרות ברמת חומרה גבוהה

העדכונים, הרלוונטיים לדגמים מובילים של החברה, כוללים עדכונים מ-Google עבור מערכת ההפעלה Android, אך נכון לשעה זו הם אינם מתאימים לכל דגמי Samsung ולכל מיקום גיאוגרפי. בין החולשות שנסגרו עבור Android ועבור Samsung מצויות 27 חולשות ברמת חומרה גבוהה. בתוך כך, על מנת לשפר את אמון הלקוחות באבטחת מכשירי החברה, Samsung פרסמה אינדקס אבטחה (SSI) המתאר את התיקונים שבוצעו ומצוי תחת הגדרות המכשיר ב-Security Software Version. התיקונים יופצו אל דגמי המכשירים הרלוונטיים וייושמו בעדכון מערכת ההפעלה החודשי של אפריל 2022. 

צוות קונפידס ממליץ למשתמשים בטלפונים ניידים של Samsung ולמשתמשי מערכת ההפעלה Android להטמיע את העדכונים בהקדם.

​

עדכון אבטחה ל-Mozilla Firefox נותן מענה ל-4 תקלות שהתגלו בדפדפן

גרסה 99.0.1 של הדפדפן פותרת את התקלות הבאות, ששיבשו את הגלישה באמצעות המוצר:

• בעיה שמנעה פענוח וידאו למשתמשי הדפדפן בעלי מערכות מבוססות Windows ומעבדים מבית Intel. מקור התקלה הוא בהגדרה לקויה של חוק GFX Blocklist.  

• בעיה בעיבוד טקסט בשפה הבנגלית.

• בעיית גרירה ושחרור בחלונית ההורדה. 

• בעיה המונעת מצב גלריית Zoom בקרב משתמשים שעוברים לכתובות URL של zoom.us במקום לכתובות של subdomain.zoom.us.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה (שאינה כוללת עדכוני אבטחה).

​

עדכוני אבטחה למוצרי מיקרוסופט נותנים מענה לחולשות קריטיות ולחולשות Zero-day

בעדכון החודשי של החברה לחודש אפריל נסגרו יותר מ-100 חולשות בתוכנות מיקרוסופט שזוהו מתחילת השנה, ואשר עלולות להיות מנוצלות על ידי תוקף להשתלטות על עמדות שאינן מעודכנות ולביצוע מתקפות נגד משתמשי המערכות. 10 מהחולשות סווגו כקריטיות, שתיים מהן (CVE-2022-24491, CVE-2022-26809) קיבלו את ציון החומרה CVSS 9.8 ועלולות לאפשר לתוקף להריץ קוד מרחוק על התחנה (RCE). עוד תוקנו 2 חולשות (CVE-2022-26904, CVSS 7.0; CVE-2022-24521, CVSS 7.8) מסוג Zero-day, שרמת חומרתן גבוהה. מרכז התגובה והאבטחה של מיקרוסופט (MSRC) חוקר את כל הדיווחים על בעיות אבטחה המשפיעות על מוצרי ושירותי החברה, ומרכז את כל המידע והעדכונים הרלוונטיים במדריך לעדכוני אבטחה. עוד הודיעה החברה על תוכנה חדשה (Hotpatching) הזמינה כעת עבור שרתי מיקרוסופט המצויים על גבי מכונות וירטואליות (VMs), ומאפשרת הטמעה מהירה של עדכוני אבטחה ללא צורך באתחול השרתים. לפי הודעה נוספת שמסרה החברה ללקוחותיה, משתמשי מערכות שהגיעו לשלב End-of-life (בהן, למשל,  Windows 7 ,Windows Server 2008 R2  ו-Windows Server 2008), יאלצו מעתה לרכוש חבילת עדכוני אבטחה מורחבת על מנת להמשיך ולקבל עדכונים שוטפים.

צוות קונפידס ממליץ למשתמשים במוצרי החברה לעדכנם לגרסאותיהם האחרונות ולעקוב אחרי הוראותיה של מיקרוסופט להקשחת שירות ה-SMB, המצויות כאן.

​

עדכוני אבטחה לארבעה ממוצרי Citrix נותן מענה למספר חולשות, בהן אחת ברמת חומרה גבוהה

החולשות שנסגרו במוצרים הבאים עלולים לאפשר לתוקף להשתלט על מערכות פגיעות:

Citrix SD-WAN - העדכון מתקן מספר חולשות שנמצאו במוצר, אחת מהן (CVE-2022-27505) היא חולשה מסוג Reflected XSS ברמת חומרה גבוהה (טרם פורסם ציון CVSS).

יש לעדכן לגרסאות:

• Citrix SD-WAN Standard/Premium Edition Appliance 11.4.3a 

• Citrix SD-WAN Orchestrator for On-Premises versions 13.2.1 

• Citrix SD-WAN Center Management Console versions 11.4.3 

​Citrix StoreFront - העדכון מתקן חולשה (CVE-2022-27503) מסוג Reflected XSS (טרם פורסם ציון CVSS).

יש לעדכן לגרסאות:

• Citrix StoreFront 2203 LTSR - 2203.0.0 ומאוחרות יותר.

• Citrix StoreFront 1912 LTSR CU5 - 1912.0.5000 ועדכונים מצטברים מאוחרים יותר עבור 1912 LTSR.

​Citrix Endpoint Management - העדכון מתקן 3 חולשות (CVE-2021-44519, CVE-2021-44520, CVE-2022-26151) בשרת ה-XenMobile שרמת חומרתן בינונית-נמוכה (טרם פורסם ציון CVSS).

יש לעדכן לגרסאות:

• XenMobile Server 10.14.0 rolling patch 4 ופרסומים מאוחרים יותר של 10.14.0.

• XenMobile Server 10.13.0 rolling patch 7 ופרסומים מאוחרים יותר של 10.13.0.

​Citrix Gateway Plug-in for Windows - העדכון מתקן חולשה אחת במוצר (CVE-2022-21827).

יש לעדכן לגרסאות:

• Citrix Gateway Plug-in for Windows version 21.9.1.2 ומאוחרות יותר.

.צוות קונפידס ממליץ לבעלי המוצרים לעדכנם לגרסאותיהם האחרונות

​

עדכון אבטחה לספריית Expat של Linux Red Hat נותן מענה לחולשות קריטיות

ספריית Expat הינה ספרייה בשפת C המשמשת להמרת מסמכי XML. שלוש מבין 12 החולשות שנסגרו בעדכון (CVE-2022-25235, CVE-2022-25236, CVE-2022-25315) קיבלו את ציון החומרה CVSS 9.8, ועלולות לאפשר לתוקף להריץ קוד מרחוק (RCE) על עמדת הקורבן. סגירת החולשה CVE-2022-25235 ב-xmltok_impl.c פתרה בעיית חוסר ולידציה של קידודים מסוימים, סגירת החולשה CVE-2022-25236 ב-xmlparse.c נועדה למנוע מתוקפים להשפיע על אופן פעולתה של הספרייה באמצעות הכנסה או שינוי של תווים, וסגירת החולשה CVE-2022-25315 מטפלת בבעיית Overflow בפונקציה storeRawNames. 

החולשות רלוונטיות למוצרים הבאים:

• Red Hat Enterprise Linux for x86_64

• Red Hat Enterprise Linux for IBM z Systems 8 s390x

• Red Hat Enterprise Linux for Power, little endian 8 ppc64le

• Red Hat Enterprise Linux for ARM 64 8 aarch64

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם לגרסה 2.4.5 או לגרסאות מאוחרות יותר.

​

עדכון אבטחה לליבת Linux נותן מענה לחולשה ברמת חומרה גבוהה

החולשה (CVE-2022-0847, CVSS 7.8) עלולה לאפשר לתוקף בעל הרשאות נמוכות לערוך מידע בקבצים רנדומליים בעלי הרשאת ״קריאה בלבד״, ולהשיג הרשאות גבוהות יותר על ידי עריכה של קבצים שאין לו גישה אליהם ומצריכים הרשאות גבוהות בכדי לעורכם (כגון  /etc/passwd). גרסאות ה-Kernel החשופות לחולשה הן 5.8, 5.16.10, 5.15.24 ו-5.10.101.

צוות קונפידס ממליץ למשתמשי Linux לעדכן את המוצר בהקדם לגרסתו האחרונה.

​

עדכון אבטחה נותן מענה לשתי חולשות ב-AWS VPN Client הרלוונטיות למערכות מבוססות Windows

העדכון שפורסם השבוע סוגר את שתי החולשות הבאות, שטרם קיבלו ציון חומרה, ואשר זוהו על ידי חברת אבטחת המידע Rhino Security Labs:

CVE-2022-25166 - החולשה מאפשרת הסטה של כתיבת קבצי התיעוד (Log) של התוכנה למיקום אחר, דבר שעלול לאפשר לתוקף לפעול תחת הרשאות התוכנה הגבוהות ביותר (SYSTEM), לכתוב בכל מקום בו ירצה לשלוט בתוכן, לכתוב קוד זדוני שיפעל באתחול המערכת, לבצע התקפות מניעת שירות (DDoS) ולהסלים הרשאות במערכת. פרצת אבטחה זו נובעת מפגם בקוד המקור של התוכנה, אשר בודק את תקינות קובץ התצורה של התוכנה לפני שהוא מעלה את התוכנה עצמה. הפגם נעוץ בכך שכאשר התוכנה עולה, ישנו פרק זמן קצר בו ניתן להזריק קוד זדוני לקובץ התצורה ולהריצו ללא בדיקה נוספת מצד המערכת. ההרצה אינה מתבטאת כהפעלה של הקוד, אלא ככתיבה שלו לקובץ של המערכת, לבחירת התוקף. כאשר הקובץ מופעל על ידי המערכת או המשתמש, הקוד הזדוני יופעל ביחד איתו. 

CVE-2022-25165 - החולשה מאפשרת לתוקף לטעון לתוכנה קובץ תצורה בעל נתיב UNC, בשל פגם נוסף בקוד. כאשר נטען לתוכנה קובץ תצורה במסווה של פרופיל, התוכנה מבצעת אימות רב-שלבי אשר כולל את נתיב הקובץ התקין ואימות המתבצע על ידי פתיחת הקובץ (File.Open). דבר זה יכול להיות מנוצל באמצעות העלאת קובץ הכולל נתיב UNC הזהה לנתיב הקובץ. התוכנה תאמת את הקובץ ותפתח (File.Open) את נתיב ה-UNC, אשר ישלח לשרת חיצוני שבשליטת התוקף את הקובץ Net-NTLMv2 המקודד, שמכיל את סיסמאות המערכת.

פרטי החולשות והתקיפות האפשריות פורסמו בבלוג טכני, הכולל גם הפניות לצפייה ב-POC ב-GitHub (ללא קוד מקור).

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם האפשרי לגרסתו האחרונה, 3.0.0.

​

עדכון אבטחה ל-Apache Struts 2 נותן מענה לחולשה ברמת חומרה בינונית

פלטפורמת Apache Struts הינה פרויקט קוד פתוח המאפשר פיתוח אפליקציות Web בסביבת Java. העדכון שפרסמה החברה סוגר חולשה (CVE-2021-31805, CVSS 6.1) העלולה לאפשר לתוקף להריץ קוד מרחוק על השרת המארח, כל זאת על ידי ניצול של הגדרה לקויה ב-(Object-Graph Navigation Language (OGNL. בעבר נתגלתה על בשירות חולשה אחרת (CVE-2020-17530), שלמרות שתוקנה - התברר כי העדכון לא היה רחב מספיק, וניתן לנצלה גם בגרסאות המוצר החדשות.

צוות קונפידס ממליץ למשתמשי Apache Struts 2 לעדכנו לגרסה 2.5.30 ולעקוב אחר המלצות האבטחה של הפרויקט, לשם הקשחת סביבת העבודה.

​

עדכון אבטחה לתוסף Elementor של WordPress נותן מענה לחולשה קריטית

החולשה (CVE-2022-1329, CVSS 9.9), שהתגלתה על ידי החוקר רמואל גאל, מקנה לתוקף יכולת להריץ קוד מרחוק, והיא רלוונטית לגרסאות 3.6.0-3.6.2 של המוצר, לאחר שבגרסה 3.6.0 נוסף למערכת Onboarding שמטרתו לפשט את תהליך התקנת התוסף על ממשקי WordPress. מודול ה-Onboarding משתמש בדרך לא-קונבנציונלית לרישום פעולות ה-AJAX, כל זאת ללא בדיקת הרשאות מתאימה למשתמשים המחוברים. דבר זה עשוי להוביל לכך שכל משתמש מחובר יוכל לשלוח בקשות AJAX ולבצע הרצה יזומה של פונקציות שהתוסף מאפשר, הקריטית שבהן הינה פונקציה המאפשרת העלאת קבצים אל העמדה המארחת של ממשק ה-WordPress. דבר זה פותח לתוקף פתח להעלות לעמדה קובץ המוסווה כתוסף נוסף של WordPress, שיורץ בעת טעינתו על ידי WordPress, או לחלופין להעלות קובץ אשר יקנה לתוקף יכולת להריץ פקודות מערכת מרחוק על העמדה הפגיעה.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם האפשרי בהתאם להוראות היצרן.

הודו: קבוצות סיניות תוקפות את מערכת החשמל למטרות ריגול

בחודש פברואר אשתקד בוצעו ניסיונות לפגוע במערכות תפעוליות הקשורות למערכת החשמל בהודו, אשר יוחסו לקבוצת התקיפה RedEcho, שככל הנראה פועלת בחסות סין. ניסיונות אלה הגיעו על רקע מתיחות מתמשכת בין שתי המדינות, שהוקלה לאחר יציאתם של כוחות סינים והודים משטח מריבה שהיה במוקד המחלוקת. כעת, חוקרי קבוצת Insikt של חברת Recorded Future פרסמו דוח חדש אודות פעולות שנצפו בחודשים האחרונים ובוצעו, ככל הנראה, על ידי קבוצה נוספת הפועלת בחסות סין, אשר תקפה את רשת החשמל ב-7 מדינות בצפון הודו, לרבות תקיפת ה- SLDC) State Load Despatch Center), האחראי על הזרמת חשמל למדינות אלה ועל ביצוע פעולות לבקרת רשתות בזמן אמת. עוד תקפה הקבוצה החדשה, המכונה בפי החוקרים Threat Activity Group 38 (או TAG-38), את מערכת תגובת החירום הלאומית של הודו וחברת לוגיסטיקה בינלאומית שבסיסה במדינה. בקמפיין הנוכחי עושה TAG-38 שימוש במצלמות DVR/IP המקושרות לאינטרנט לשם שליטה ובקרה ולהדבקת עמדות בדלת אחורית המכונה ShadowPad. באמצעות ShadowPad וכלי הקוד הפתוח (Fast Reverse Proxy (FRP, החושף לאינטרנט שרת מקומי המצוי מאחורי NAT או Firewall, יכול תוקף החודר למערכת להעלות אליה קבצים, ליצור תהליכים ולאחסן בה מידע. הדוח של Insikt כולל המלצות להתגוננות מפני קבוצות אלה, בהן הקשחת תוכנות והתקנים המחוברים לאינטרנט (לרבות מצלמות DVR/IP), שינוי סיסמאות ברירת מחדל לסיסמאות חזקות ומורכבות, הפעלת אימות דו-שלבי (2FA), חסימת כתובות IP ודומיינים המצוינים בדוח, ומעקב אחר תעבורת רשת חריגה מול שרתים אינם ידועים. חוקרי Insikt סבורים כי מטרת הקמפיין המתמשך היא פעולות ריגול ואיסוף מודיעיני אודות מערכות של תשתיות קריטיות, כמו גם הכנה לפעולות עתידיות. 

​

חולשת Spring4Shell מנוצלת על ידי תוקפים להרצת הבוטנט Mirai

בהמשך לדיווח על שתי חולשות שנמצאו בפלטפורמת Spring Cloud (ראו ״הסייבר״, 31.3.22), מפרסום של חוקרי חברת Trend Micro עולה כי אחת מהן, המכונה Spring4Shell, מנוצלת להרצת נוזקת הבוטנט באופן המאפשר לתוקפים לטעון אותה לתיקיית "tmp/", להשתמש בפקודת chmod לשינוי הרשאות ולבסוף להריץ את Mirai על עמדת הקורבן. Mirai היא תוכנה זדונית הפוגעת במכשירים חכמים בעלי מעבדים עם ארכיטקטרות שונות והופכת אותם לרשת של בוטים, או "זומבים", הנשלטים מרחוק. מערך מסוג זה מכונה ״בוטנט״, ולעתים קרובות משמש לביצוע מתקפות מניעת שירות (DDoS). חולשת ה-Spring4Shell, אשר לדברי החוקרים מנוצלת כיום בעיקר בסינגפור, נוצרת כאשר אובייקטים או מחלקות מיוחדים נחשפים בקוד בתנאים מסוימים. מכיוון שלעתים קרובות פרמטרים של בקשות הקשורים ל-POJO (אובייקט ב-Java) אינם מסומנים ב-RequestBody@, הדבר מקל על חילוץ פרמטרים מבקשות HTTP. משתנה המחלקה מכיל הפניה לאובייקט POJO שאליו ממופים הפרמטרים של ה-HTTP, מה שמאפשר לתוקף לגשת אל האובייקט ישירות על ידי ציון משתנה המחלקה בבקשותיו, ובכך לנצל את החולשה. Trend Micro ממליצה למשתמשי פלטפורמת Spring לעדכנה לגרסה 5.3.18 או מאוחרת יותר, או לגרסה 5.2.20 או מאוחרת יותר. עוד מומלץ לעדכן את ה-Boot לגרסה 2.6.6 או מאוחרת יותר, או לגרסה 2.5.12 או מאוחרת יותר. לחלופין, למי אינו יכול לבצע את העדכון מומלץ לחסום ב-Firewall מחרוזות המכילות את הערכים הבאים: .class.*, .Class.*, *.class.* ,*Class*. עוד ניתן לשנמך את ה-JDK לגרסה 8, אך פעולה זו עלולה לפתוח דלת למתקפות אחרות, שגרסה זו פגיעה להן. במחקר המלא שפורסם ניתן למצוא רשימת IOCs להזנה במערכות הגנה.

​

הנוזקה הטרויאנית החדשה Octo מאפשרת ביצוע עסקאות וגניבת נתונים רגישים ממוסדות פיננסיים באמצעות מכשירים מבוססי Android 

משפחת הנוזקות Exobot, שנצפתה לראשונה ב-2016, עברה גלגולים ושדרוגים רבים, עד שלבסוף מותגה מחדש בשם Octo. על הקשר שבין Octo ל-Exobot עלתה חברת ThreatFabric, שזיהתה בהן תכונות דומות, כגון אמצעים למניעת גילוי (הנדסה לאחור), קידוד המאפשר להידמות לתוכנה לגיטימית בחנות האפליקציות Google Play והשבתת ה-Google Protect בעת ההורדה, אשר תפקידו לבדוק את אפליקציות החנות לפני שהן מורדות למכשירים. ואולם מה שמייחד את Octo משאר הנוזקות במשפחת Exobot הוא יכולת לבצע מרחוק (ODF (On-device Fraud במכשיר בו הקורבן משתמש באופן יומיומי. ה-ODF מתבסס על ניצול שירותים מובנים ב-Android להשגת נראות מלאה בזמן אמת של המכשיר, המשדר ישירות לשרת פיקוד ושליטה (C&C) מרוחק של התוקף. מאחורי הקלעים, התוקף חוסם את מכשיר הקורבן להתראות, מחשיך את המסך ומבצע מגוון פעולות במכשיר, לרבות הקלדה, גלילת מסך והעתקה והדבקה של טקסטים. פעולות אלה מאפשרות לו לבצע אוטומציה של עסקאות והונאות ללא אישור ידני. עוד משתמש התוקף בתוכנה המקליטה את הקלדות הקורבן, ובכך גונב ממנו סיסמאות ומידע רגיש נוסף. הנוזקה Octo, המתמקדת בארגונים פיננסיים, מפעילה מספר קמפיינים ברחבי העולם - ובעיקר באירופה, ומופצת באמצעות מספר יישומים זדוניים המצויים ב-Google Play והורדו יותר מ-50 אלף פעמים. חברת ThreatFabric ממליצה למוסדות פיננסיים להתמגן מפני הנוזקה באמצעות שימוש בטכנולוגיה לזיהוי התנהגות זדונית, בנוסף לזיהוי על פי חתימות דיגיטליות. את הניתוח המלא ואת רשימת האפליקציות המכילות את התוכנה הזדונית, ניתן למצוא באתר ThreatFabric. 

​

רוגלה לגניבת פרטי חשבונות בנק התחזתה לתוכנת הגנה בחנות האפליקציות של Google

חוקרים מחברת Check Point חשפו 6 תוכנות שהוצגו ב-Google Play כתוכנות הגנה למכשירי Android, אך בפועל הפיצו את הנוזקה SharkBot, הגונבת פרטי חשבונות בנק ואמצעי הזדהות של הקורבנות. SharkBot אינה פוגעת בקורבנות באופן אקראי, אלא מזהה ופוסחת על משתמשים מסין, מהודו, מרומניה, מרוסיה, מאוקראינה ומבלארוס. כמו כן התוכנה משתמשת ב-(Domain Generation Algorithm (DGA, מנגנון נדיר למדי בנוזקות ל-Android, המאפשר ליצור מספר רב של שמות דומיין המשמשים כנקודת מפגש לשרתי פיקוד ושליטה (C&C), ובכך להקשות על זיהוי והשבתת בוטנטים. חוקרי Check Point פנו ל-Google מיידית על מנת שתסיר מן החנות את האפליקציות, אשר עד לאותו רגע כבר הורדו והותקנו כ-15 אלף פעמים. במאמר המצורף מספקת Check Point ניתוח טכני מעמיק של SharkBot וחושפת את השלבים שעזרו לזיהוי היישומים שהפיצו אותה. עוד מכיל המאמר IOCs להזנה במערכות הגנה. Check Point ממליצה להשתמש בשירותי ה-Harmony Mobile Protection שהיא מציעה על מנת להתגונן מפני המתקפה זאת. כמו כן, ניתן להשתמש לשם כך בכל מוצר On-device Network Protection אחר.

​

דרום קוריאה: נוזקה חדשה בעלת יכולות ריגול מחקה נציגי בנקים

הנוזקה Fakecalls, המתחזה לאפליקציות של בנקים ידועים בדרום קוריאה, בהם Kookmin Bank ו-KakaoBank, כוללת יכולות של ניטור וריגול אחר פעולות משתמשים. בעת התקנתה, הנוזקה דורשת מהמשתמש הרשאות שונות, בהן גישה לרשימת אנשי הקשר, למיקרופון, למצלמה ונתוני מיקום, ולאחר מכן היא מציגה אייקונים שונים, אחד מהם הוא אייקון המוכר ככזה המשמש ליצירת קשר טלפוני עם הבנק. לאחר לחיצה על האייקון מופיע מספר הטלפון של מוקד השירות של הבנק, אך בעת ניסיון ההתקשרות מתבצע יירוט של השיחה, והנוזקה מנתקת את הקשר למוקד הבנקאי באופן דיסקרטי ופותחת מסך המדמה שיחה, במקום המסך הרגיל המופיע בעת שיחה טלפונית. המשתמש מצדו אינו מודע לכך שהשיחה הועברה לתוקף, והוא שומע הקלטה שמנגנת הנוזקה, אשר מדמה את צליל ההמתנה הלגיטימי של הבנק. בהמשך מושמעות הקלטות שונות המכילות מלל שגרתי להודעות קוליות או עובדי מוקדים טלפוניים, והתוקפים מנסים לדלות מהקורבן נתונים רגישים, בהם פרטי כרטיסי אשראי. כמו כן, יכולותיה של הנוזקה וההרשאות שניתנו לה על ידי הקורבן בעת התקנתה מאפשרות לה לבצע שיחות נכנסות למכשירו, כאשר על הצג מופיע מספר מדומה הנראה כמספר הטלפון הלגיטימי של הבנק. נוסף על כל אלה, הנוזקה יכולה להקליט שיחות ומלל על ידי שימוש במיקרופון ובמצלמה שבמכשיר הקורבן ולשדר לתוקף קטעי וידאו או שמע מהמכשיר, ללא ידיעת המשתמש. נכון לשעה זו, הנוזקה מותאמת לשפה הקוריאנית בלבד, כך שלא נשקפת סכנה למשתמשים שבמכשיריהם הסלולריים מוגדרת שפה אחרת.

צוות קונפידס ממליץ על הפעולות הבאות להקטנת הסיכוי לחשיפה לנוזקות:

• להוריד ולהתקין אפליקציות אך ורק מחנויות רשמיות, כגון Google play ,Microsoft Store ו-App Store. 

• לשים לב להרשאות הנדרשות לשימוש באפליקציות, לקרוא היטב את הכתוב ולא להעניק הרשאות מעבר למינימום הנדרש.

• לעולם לא למסור מידע רגיש בטלפון (נתוני הזדהות, קודים וכן הלאה).

• להתקין על מכשירי אישיים מערכת אנטי-וירוס מוכרת ולעדכנה על בסיס קבוע.

​

Zscaler מזהירה מפני נוזקת FFDroider החדשה הגונבת מידע - בעיקר ברשתות החברתיות 

השבוע דווחו חוקרים מחברת אבטחת הענן כי גילו נוזקה המתמקדת במערכת ההפעלה Windows ויוצרת Registry key כ-FFDroider, בהתאם לכך, הם העניקו לנוזקה החדשה את הכינוי Win32.PWS.FFDroider. מטרתן של נוזקות מסוג זה היא גניבת מידע רגיש, כגון פרטי משתמש, עוגיות, הקשות מקלדת, צילומי מסך וקבצים, ושליחתם לשרת C&C המצוי בשליטת התוקף. פירוש הדבר הוא שכאשר הקורבן מתקין תוכנה חינמית או מנגנון העוקף את מנגנון האימות להתקנת תוכנה ברישיון (Cracker), המערכת מתחברת לשרת התוקף ומורידה ממנו את הנוזקה, אשר גונבת את פרטי המשתמש מהדפדפן (כדוגמת פרטי אימות משתמש המצויים בעוגיות) ושולחת אותם לשרת ה-C&C. בתוך כך, אותרה נוזקה נוספת מסוג זה, המכונה Lightning ופועלת באופן דומה. 

להלן רשימת הדפדפנים והאתרים המהווים מטרה לנוזקה החדשה:

• Google Chrome

• Mozilla Firefox

• Internet Explorer

• Microsoft Edge

• Facebook

• Instagram

• Amazon

• All access.wax

• eBay

• Etsy

• Twitter

אינדיקטורים אשר נמצא קשר בינם לבין הנוזקה:

• beb93a48eefd9be5e5664754e9c6f175

• e8c629383fe4b2c0cbf57b0d335fc53f

• 6a235ccfd5dd5e47d299f664d03652b7

• b11fd571c6cc4b8768f33a2da71fbb6e

• download[.]studymathlive[.]com/normal/vinmall880[.]exe

• download[.]studymathlive[.]com/normal/lilay[.]exe

• download[.]studymathlive[.]com/install/vinmall1[.]exe?_sm_byp=iVVkm23V4sqBFtNM

• download[.]studymathlive[.]com/install/vinmall1[.]exe?_sm_byp=iVVJWHH51nHRJTzP

צוות קונפידס ממליץ לחסום ולנטר את האינדיקטורים הקשורים לנוזקה, ולחסום כניסה לאתרים שאינם דרושים לתפקודו התקין של הארגון.

​

נוזקת Qbot משנה את מנגנון ההדבקה שלה בעקבות הקשחה של Microsoft Office

הנוזקה, הידועה גם בשמות Quakbot ,QakBot ו-Pinkslipbot, היא סוס טרויאני הנמצא בשימוש מ-2007 ומתמחה בגניבת פרטי בנק, מידע אישי ומידע פיננסי, כמו גם בהתקנת דלתות אחוריות במחשבים נגועים ובפרישת הכלי Cobalt Strike, המשמש תוקפים לצד היותו כלי לגיטימי לביצוע מבדקי חדירות. Qbot, שעד היום התבסס על הדבקה באמצעות מיילי פישינג שהכילו קבצי Microsoft Office עם סקריפט מאקרו זדוני, עברה לשימוש בקבצי ZIP מוגנים בסיסמה המכילים קובץ (MSI (Windows Installer Package, שמתקין את הנוזקה. חוקרי אבטחה סבורים שהשינוי הגיע על רקע הודעתה של מיקרוסופט לפיה החברה מתכננת להילחם בהעברת נוזקות באמצעות פקודות מאקרו, על ידי ניטרול האפשרות להריץ מאקרו כברירת מחדל. במתווה החדש, המשתמש יקבל הודעות על קבצי מאקרו שנמצאו חשודים והתראות על קבצי Office המכילים קבצי מאקרו, אך יוכל לשנות הגדרה זו באופן ידני. צעדיה של מיקרוסופט למניעת ההדבקה החלו החודש, מגרסה 2203 של חבילת התוכנות.

קבוצות APT פיתחו כלים מיוחדים לתקיפת מכשירי ICS/SCADA

לשכת החקירות הפדרלית (FBI), הסוכנות לביטחון לאומי (NSA), הסוכנות לאבטחת סייבר ותשתיות (CISA), מחלקת האנרגיה של ארצות הברית (DOE) וראש מטה הצבא האמריקאי (CSA) מזהירים כי מספר קבוצות איום מתמשך מסוגלות להשיג גישה מלאה למערכות ICS/SCADA המפורטות בפרסום הרשמי של הארגונים. הקבוצות פיתחו באופן ידני כלים ייעודיים המאפשרים לסרוק, לתקוף ולנצל מכשירי ICS/SCADA פגיעים, כאשר עם השגת אחיזה במכשיר פגיע וגישה ראשונית לרשת הארגונית, הם סורקים ותוקפים עמדות מבוססות Windows תוך ניצול חולשות שונות, בהן חולשה בדרייבר של לוח האם של ASRock. לאחר שהושגה אחיזה במכשירי ICS/SCADA, מתאפשר לתוקפים לנוע רוחבית ברשת ולהשיג אחיזה ברשתות ארגוניות (ראו גם ״הסייבר״, 31.3.22). בפרסום הרשמי ניתן למצוא המלצות להתמגנות מפני מפני התקיפה.

סייבר בעולם

יעד חדש לפיקוד הסייבר של ארה״ב: הגדלת מספר הצוותים הפועלים במרחב הסייבר 

פיקוד הסייבר האמריקאי, האחראי על ריכוז, ארגון והגנה על רשת צבא ארצות הברית, מונה כיום 133 צוותי פעולה ייעודיים למטרות אלה. בוועידה שנערכה ב-5 באפריל בוועדת הכוחות המזוינים של בית הנבחרים האמריקאי אמר מפקד הפיקוד, הגנרל פול נקאסוני, כי  היקף הצוותים הפועלים כיום במרחב הסייבר בשורות הפיקוד והיקף הגידול בצוותים שאושר בעבר אינם מספקים, וכי יש להמשיך ולפעול להגדלת סד״כ הצוותים. אחד מהקשיים המרכזיים עליהם הצביע הגנרל במשימת שימור כוח האדם הפועל בפיקוד הוא ההצעות המפתות הקיימות מחוץ למסגרת הצבאית.

​

הדוח הרבעוני הראשון של Meta: קבוצת תקיפה איראנית חדשה בזירה וגורמים זדוניים שפועלים בפלטפורמות החברה וברשת

הדוח הראשון של החברה, שפורסם ב-7 באפריל, עוסק בעיקר באיומים ובהפרות התקנון של Meta במדינות כמו איראן, אוקראינה ורוסיה, ומציג ממצאים הנוגעים לפעילות של קבוצות תקיפה ברחבי הרשת, לצד IOCs שונים. בין היתר מוזכרת בדוח ישראל, כאחת מקורבנות קבוצת התקיפה האיראנית UNC788 (או Charming Kitten) וקבוצת תקיפה איראנית נוספת שזוהתה לראשונה. בדוח מפורטים ה-TTPs (טקטיקה, טכניקות ונהלים) בהם משתמשות השתיים, כאשר לדברי Meta כמה מהטכניקות העיקריות של קבוצת התקיפה UNC788 הן הנדסה חברתית (יצירה ושימוש בחשבונות מזויפים של אנשים ידועים, כגון פעילי זכויות אדם ואקדמאים, לפיתוי קורבנות ללחוץ על קישורי פישינג או להוריד נוזקות למחשביהם), עמודי פישינג (הפעלת רשת עמודי פישינג שהוסוו כעמודים לגיטימיים של Google, באמצעותם פותו קורבנות להכנסת פרטיהם האישיים) והפצת אפליקציות Android לגיטימיות שעברו שינוי (כגון לוחות שנה וקוראן), כדי להשיג באמצעותן מידע ממכשיריהם הניידים של הקורבנות. באשר לקבוצת התקיפה האיראנית שטרם זוהתה, מהדוח עולה כי דרכי פעולתה דומות לאלה של קבוצה אחרת, המכונה Tortoiseshell, וכי נכון לשעה זו היא משתמשת בטכניקות של הנדסה חברתית, מפעילה חשבונות מזויפים בפלטפורמות חברתיות  ומתחזה למגייסים מטעם חברות שונות, על מנת לפתות קורבנות ללחוץ על קישורים זדוניים. עוד משתמשת הקבוצה האנונימית בעמודי פישינג המתחזים לעמודים לגיטימיים ומסתירה נוזקות בתוך אפליקציות לגיטימיות, כאשר הורדתן לצד הקורבן נעשית רק בעקבות אינטראקציה אקטיבית עם התוקף. למשל, אפליקצית שחמט שהפיצה הקבוצה דורשת קוד גישה לשם הפעלת המשחק, מה שבפועל מתניע את הורדת הנוזקה. דבר זה מהווה חלק מהצעדים בהם היא נוקטת להסתרת פעילותה. לדברי Meta, שתי הקבוצות פועלות נגד אקטיביסטים ישראלים, ומעורבות במתקפות נגד תעשיות השבבים והלוגיסטיקה הימית הישראליות (ככל הנראה, הכוונה היא לאירוע שאירע בנמל אשדוד בפברואר האחרון, ראו ״הסייבר״, 3.2.22). נושא קריטי נוסף בו עוסק הדוח הוא פעילותה של Meta נגד תקיפות הסייבר באוקראינה והפצת ידיעות מזויפות בעניין בפלטפורמות החברה. בהקשר זה, הדוח חושף את פעילותה של Ghostwriter (או UNC1151), קבוצת תקיפה המזוהה עם רוסיה ובלארוס ופועלת רבות במתווה של פישינג במייל להשגת גישה לחשבונות ברשתות החברתיות. מאז תחילת הפלישה הרוסית לאוקראינה, הקבוצה שמה לה למטרה אנשי צבא אוקראינים, ובמקרים רבים היא פורצת לחשבונותיהם בפייסבוק ומעלה סרטוני מזויפים הקוראים לצבא האוקראיני להיכנע. Meta ממליצה לתושבי רוסיה ואוקראינה להשתמש ב-VPN בכדי לעקוף חסימות לאתרים, לאפשר אימות דו-שלבי (2FA) באמצעות כלים כמו Google Authenticator ולא לבצע שימוש חוזר בסיסמאות.

​

משמר החופים האמריקאי השתתף בתרגיל סייבר של ה-NSA 

צוות מהאקדמיה של משמר החופים השתתף ב-NCX) National Cyber Exercise), תרגיל אבטחת הסייבר הלאומי השנתי של הסוכנות האמריקאית לביטחון לאומי (NSA), שהינו תחרות הבוחנת כישורי הגנה והתקפה במרחב הסייבר. במהלך התרגיל האחרון, צוערי אקדמיית משמר החופים שיתפו פעולה עם ה-NSA על מנת ליישם אסטרטגיות לפעולות סייבר בזמן אמת, בחלוקה ל-4 מודלים שדימו אתגרים אמיתיים בתחומים הבאים: מדיניות הגנה, קריפטוגרפיה, פיתוח תוכנה וניתוח נוזקות. בשיאו של התרגיל התבצע אירוע התקפה והגנת סייבר מלא. הצוערים מאקדמיית משמר החופים שהכשירה השנה תכנית ה-NCX נועדו לתת מענה בתחום הגנת מרחב הסייבר והתשתיות הימיות הקריטיות, לרבות תובלה ימית.

בשיתוף פעולה בינלאומי חריג: משרד המשפטים של ארה"ב חוסם פלטפורמת RaidForums ומגיש כתב אישום נגד מנהלה 

ב-12 באפריל הודיע משרד המשפטים האמריקאי על החסימה של פלטפורמת הענק RaidForums, המהווה מאז 2016 שוק מקוון מרכזי עבור פושעי סייבר לסחר במידע גנוב אשר השיגו בפעילות פלילית במרחב. ב-RaidsForums הוצעו למכירה מאות מאגרי מידע, שהסתכמו בכ-10 מיליארד רשומות ייחודיות גנובות של אנשים פרטיים מכל רחבי העולם, לרבות מידע אישי ופיננסי רגיש (פרטי חשבונות בנק וכרטיסי אשראי, מספרי תעודות זהות ועוד) של קורבנות מתקפות שבוצעו נגד ארגונים בארצות הברית ובמדינות אחרות בשנים האחרונות. במבצע שכונה ״חוסם עורקים״, הצליח משרד המשפטים לחסום לשימוש שלושה אתרים של הפלטפורמה, raidforums.com, rf.ws, ו-raid.lol. נוסף על כך, הוגש כתב אישום נגד מייסד ומנהל הפלטפורמה, האזרח הפורטוגלי, דיוגו סנטוס קולהו, שנעצר בחודש ינואר בבריטניה על ידי היורופול, בסיוע רשויות אכיפה נוספות. כעת החלה ארצות הברית בתהליכי הסגרתו של קולהו, כדי להעמידו לדין בשטחה. ג'ייסון קיין, סוכן מיוחד האחראי על חטיבת החקירות הפליליות של השירות החשאי האמריקאי, הדגיש את שיתוף הפעולה הבינלאומי שהוביל לחסימת האתרים ולמעצרו של קולהו, באמרו כי "חקירה גלובלית זו מסמלת את מסירותו המדהימה של השירות החשאי של ארצות הברית, ומדגישה את השותפויות שלנו עם עמיתינו הזרים לאכיפת החוק, החיוניות לשיבוש רשתות מתוחכמות של פושעי סייבר. [...] מקרה זה מדגים עבודת צוות בכל רמות אכיפת החוק, על מנת למנוע מפושעי הסייבר הללו להונות אזרחים בארצות הברית ובמדינות שהן שותפות שלנו".

​

סינגפור השיקה תשתית לרישוי ספקי שירותי סייבר במדינה

במסיבת עיתונאים שהתקיימה ב-11 באפריל, השיקה סוכנות אבטחת המידע של סינגפור (CSA) תכנית לרישוי חובה של כל הגופים במדינה שמספקים שירותי ניטור ובקרה בתחום אבטחת המידע והגנת סייבר (שירותי Managed Security Operations). החובה תחול על כל ספק של שירותים אלה הפועל בשוק הסינגפורי, בין אם הוא חברה או יחיד, בעוד שספק שירות פנימי לאירגון שלו עצמו לא יחויב ברישיון. יעדי הסדר הרישוי החדש הם לקדם אבטחה והגנה טובות יותר ברמה הלאומית בסינגפור, לשפר את הסטנדרטים של נותני השירות ולהסדיר את התקשורת בינם לבין הצרכנים. נכון לעכשיו, ה-CSA יעניק שני סוגי רישיונות: רישיון לחברות המבצעות מבדקי חדירות, ורישיון נפרד לחברות המנהלות חדרי SOC. עוד הודיע ה-CSA כי לנותני השירות הקיימים תינתן האפשרות להגיש בקשה לקבלת רישיון עד לחודש אוקטובר, כאשר גוף שלא יגיש בקשה או שבקשתו לא תאושר - יפסיק את פעילותו כספק שירות בתחום. במסגרת ה-Cybersecurity Act  של סינגפור, גוף שיחרוג מההסדר החדש יהיה חשוף לסנקציות של עד שנתיים מאסר ו/או קנס מירבי של כ-50 אלף דולר. הסדר הרישוי החדש נכנס לתוקף ב-11 באפריל.

​

ה-CISA מפרסמת הנחיות וולונטריות חדשות בנוגע לשיתוף מידע אודות איומי סייבר

בתחילת אפריל, ובהמשך לחוק חדש שנכנס לתוקפו במרץ השנה ([Cyber Incident Reporting for Critical Infrastructure Act of 2022 [CIRCIA) ויטיל בעתיד חובת דיווח על איומי סייבר, הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) פרסמה כעת הנחיות וולונטריות בנושא שיתוף מידע כאמור, בניסיון לקדם לעת עתה דיווח מרצון. ההנחיה מתייחסת, בין היתר, לדיווחים על גישה לא מורשית למערכות ארגונים, מתקפות DDoS שנמשכות יותר מ-12 שעות, זיהוי קוד זדוני במערכות, ניסיונות פישינג ומתקפות הכוללות דרישות כופר.  לפי הודעת ה-CISA לציבור, המידע שישותף ישמש ל"בניית הבנה משותפת בנוגע לאופן בו יריבים מכוונים את פעולותיהם נגד רשתות ומגזרי תשתיות קריטיות בארצות הברית. מידע זה ממלא פערי מידע קריטיים ומאפשר ל-CISA לפרוס משאבים במהירות ולהעניק סיוע לקורבנות של מתקפות". נכון לשעה זו, טרם נקבע מועד לפרסום הסדרה מחייבת בנושא.

​

ה-NIST קובע מסגרת חדשה להגנה על שרשרת האספקה של תוכנות: התמקדות בהגנה על החוליה החלשה בשרשרת 

לאור מתקפות הסייבר המשמעותיות שאירעו בשנים האחרונות על שרשראות האספקה של תוכנות הפעלה, כדוגמת מתקפות ה-SolarWinds בדצמבר 2020, המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית מפרסם כעת מסמך מסגרת למזעור איומי הסייבר על תהליכי פיתוח של תוכנות. ה-Secure Software Development Framework (או SSDF), הכלול במסמך ה-SP 800-218 של ה-NIST, עוסק בהתנהלותם של ארגונים שמפתחים תוכנה, ונועד למזער את החשיפות לאיומי סייבר בתהליכי הפיתוח. לפי ה-SSDF, שיטות פיתוח תוכנה מאובטחות כוללות הגדרת הגנות על סביבות הפיתוח עצמן, התראות על שינויים שאינם מורשים בקוד בו נעשה שימוש במהלך הפיתוח, תיעוד מלא של פרסומי גרסאות, תיקוף אבטחת מרכיבי תוכנה שמקורם בצד ג' (כגון פרוטוקולי הצפנה) והדרכת עובדי פיתוח לאבטחת חלקי התהליך הרלוונטיים לעבודתם. המסגרת החדשה מספקת גם שפת עבודה משותפת לתהליכי פיתוח תוכנה. חשיבותה הנוכחית היא בתמיכה שהיא מעניקה לצו הנשיאותי ממאי 2021, Improving the Nation's Cybersecurity ולמענה שהוא אמור לספק לחברות שמפתחות תוכנה נוכח היותן חשופות במיוחד למתקפות סייבר. מדוח סיכום שנת 2022 של חברת Check Point עולה שסקטור חברות פיתוח התוכנה חווה גידול של 146% במתקפות שכוונו כלפיו בשנת 2021, לעומת 2020. 

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

​

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.