דו״ח סייבר שבועי
עדכון שבועי 24.11.2022
עיקרי הדברים
-
ישראל: קבוצת התקיפה האיראנית ״מטה משה״ (Charming Kitten) מפרסמת תמונות של מצלמות אבטחה מאחת מזירות הפיגוע בירושלים; משטרת ישראל מזהירה: לא ללחוץ על קישורים הנשלחים במייל ״מאגף התנועה״; הרשות להגנת הפרטיות ומערך הסייבר הלאומי מתריעים מפני התגברות מתקפות סייבר סביב ימי קניות פופולריים ברשת.
-
נפרצה AirAsia, חברת התעופה הגדולה במלזיה - מידע של עובדיה ושל 5 מיליון נוסעים מוצע למכירה ברשת.
-
אירופה: אתר הפרלמנט האירופי תחת מתקפת סייבר של קבוצת Killnet הרוסית, לאחר הכרזת הפרלמנט על רוסיה כתומכת טרור; בחדרי התדרוך של משרדי הממשלה הבריטית העוסקים בניהול משברים מתנהלים בעיקר דיונים בנושאי מתקפות כופרה.
-
גול להאקרים: עלייה של 100% בכמות המיילים הזדוניים הנשלחים למדינות ערביות על רקע משחקי המונדיאל בקטאר.
-
*אנו ממליצים לעדכן את המוצרים הבאים: מכשירי Huawei (קריטי); מוצרי BIG-IP (קריטי); מוצרי Atlassian (קריטי); מוצרי ה-PDF Reader וה-PDF Editor של Foxit (גבוה); ליבת Ubuntu (גבוה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכוני אבטחה למכשירים ניידים ולטאבלטים של Huawei נותן מענה ל-42 חולשות במוצרים, בהן אחת קריטית
F5 פרסמה מדריך הכולל פעולות לביצוע לשם התמגנות מפני חולשות קריטיות שהתגלו במוצריה
עדכון אבטחה של Atlassian נותן מענה לשתי חולשות קריטיות בכמה ממערכותיה
עדכוני אבטחה של Foxit למוצרי ה-PDF Reader וה-PDF Editor נותנים מענה ל-4 חולשות ברמת חומרה גבוהה
עדכון אבטחה לליבת Ubuntu נותן מענה ל-8 חולשות, 5 מהן ברמת חומרה גבוה
התקפות ואיומים
קמפיין פישינג חדש מנצל חולשת Zero-day במערכת ההפעלה Windows להדבקת מחשבים בנוזקה Qakbot באמצעות קובצי JS
הסוף לשימוש ב-Cobalt Strike בקרב האקרים?
נפרצו חשבונות של משתמשי המשחק DraftKings; החברה תפצה לקוחות על כספים שנגנבו כתוצאה מהתקיפה
תוסף של Google Chrome משמש לגניבת מטבעות קריפטו וסיסמאות
הנוזקות AXLocker ,Octocrypt ו-Alice מובילות גל חדש של תקיפות כופרה
Google Play, חנות האפליקציות של Android, כבית לאפליקציות זדוניות
נוזקת Aurora: איום חדש ב״מגרש של הגדולים״
הנוזקה DUCKTAIL ממשיכה לתקוף חשבונות עסקיים בפייסבוק
התגלו שני תוספי Chrome זדוניים שהורדו יותר מ-200,000 פעמים על ידי משתמשי Roblox
אתרים מזויפים של MSI Afterburner מדביקים בכורי מטבעות קריפטוגרפיי
השבוע בכופרה
נפרצה AirAsia, חברת התעופה הגדולה במלזיה; מידע של עובדיה ושל 5 מיליון נוסעים מוצע למכירה ברשת
קבוצת הכופרה Donut מציגה הודעות כופר יצירתיות ושיטת סחיטה כפול
סייבר בעולם
חוקרי Unit 221B פיצחו את מפתחות ההצפנה של נוזקת Zeppelin
ה-CISA, ה-FBI וה-HHS פרסמו במשותף דוח בנושא הגנת נכסים חיוניים מפני מתקפות כופרה
בריטניה: בחדרי התדרוך של משרדי הממשלה העוסקים בניהול משברים מתנהלים בעיקר דיונים בנושאי מתקפות כופרה
שווייץ: נעצר אזרח אוקראיני החשוד שהנהיג קבוצת סייבר שגנבה עשרות מיליוני דולרים מעסקים קטנים ובינוניים בארצות הברית ובאירופה
גול להאקרים: עלייה של 100% בכמות המיילים הזדוניים הנשלחים למדינות ערביות על רקע משחקי המונדיאל בקטאר
נוזקת Emotet זוהתה בתצורה משופרת, לאחר שלא נצפתה מאז חודש יולי
סוחרי מטבעות קריפטו בפלטפורמת Coinbase מצויים על הכוונת של קמפיין פישינג חדש
יותר מ-3 מיליון מפתחות API דלפו מ-1,550 אפליקציות
הקמפיין Luna Moth Gang משתמש בפישינג מסוג Callback נגד עסקים
ארה״ב: שימוש לא נכון ב-Meta Pixel גרם לחשיפת נתונים אישיים של 3 מיליון מטופלים בבתי חולים
היורופול השבית את iSpoof, אתר ששימש ככלי Spoofing בידי תוקפים; 142 חשודים נעצרו במבצע בינלאומ
סייבר בישראל
משטרת ישראל מזהירה: לא ללחוץ על קישורים הנשלחים במייל ״מאגף התנועה״
הרשות להגנת הפרטיות ומערך הסייבר הלאומי מתריעים מפני התגברות מתקפות סייבר סביב ימי קניות פופולריים ברשת
קבוצת התקיפה האיראנית Moses Staff שבה לפעילות וחדרה למצלמות אבטחת צירים של גוף בטחוני גדול בישרא
סייבר ופרטיות - רגולציה ותקינה
הפנטגון מפרסם אסטרטגיית Zero Trust להשקעות בתחום הסייבר
ישראל: הרשות להגנת הפרטיות מפרסמת מדריך עזר מתודולוגי לעריכת תסקיר השפעה על הפרטיות (DPIA
כנסים
הציטוט השבועי
״מכיוון שלפשעי סייבר אין גבולות, שיתוף פעולה משפטי בין תחומי שיפוט הוא המפתח להבאת פושעים למשפט. Eurojust תומכת ברשויות הלאומיות במאמציהן להגן על אזרחים מפני איומים מקוונים ולא-מקוונים, כדי שהצדק ייעשה.״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכוני אבטחה למכשירים ניידים ולטאבלטים של Huawei נותן מענה ל-42 חולשות במוצרים, בהן אחת קריטית
בין החולשות שנסגרו בעדכוני נובמבר של מערכת ההפעלה HarmonyOS כלולות גם 16 חולשות בדרגת חומרה גבוהה וכמה חולשות צד שלישי. החולשה (CVE-2022-25720, CVSS 9.8) החמורה ביותר שנסגרה הינה מסוג אימות שגוי של מערך אינדקס, המשפיעה על הרכיב צד שלישי Qualcomm. בשל החולשה, במהלך חיבור או נדידה המוצרים משתמשים בקלט שאינו מהימן ב-WAN host, מה שגורם לכך שהמוצר אינו מאמת/מאמת בצורה שגויה את האינדקס, במקום לוודא שהאינדקס מפנה למיקום החוקי. ניצול מוצלח של החולשה עלול לאפשר לתוקף מרוחק להריץ קוד שרירותי. רשימה מלאה של החולשות והמערכות המושפעות מצויה כאן.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם לגרסאותיהם האחרונות.
F5 פרסמה מדריך הכולל פעולות לביצוע לשם התמגנות מפני חולשות קריטיות שהתגלו במוצריה
החולשות, מסוג CSRF, התגלו במוצרי ה-BIG-IP (כל הגרסאות) וה-BIG-IQ (גרסאות 8.0.0-8.2.0 ו-7.1.0) של החברה, והן עלולות לאפשר לתוקף להביא משתמשים בעלי הרשאות אדמין נמוכות לבצע פעולות קריטיות במערכת. בשעה זו טרם פורסם עדכון המטפל בחולשות, ועל מנת להתמודד עמן יש לעקוב אחר ההוראות המצויות במדריך זה.
צוות קונפידס ממליץ למשתמשי המוצרים להקשיח אותם בהתאם ל-Workarounds המומלצים, ולעקוב אחר פרסומיה של F5 בנוגע לעדכונים חדשים.
עדכון אבטחה של Atlassian נותן מענה לשתי חולשות קריטיות בכמה ממערכותיה
העדכון רלוונטי למספר מוצרים, בהם גם:
Centralized Identity Management Platform
Crowd Server and Data Center
Bitbucket Server and Data Center
החולשה הראשונה (CVE-2022-43782) מצויה ב-Crowd Server and Data Center (גרסאות 3.0.0 עד 3.7.2, 4.0.0 עד 4.4.3 ו-5.0.0 עד 5.0.2. החולשה אינה משפיעה על גרסאות 5.0.3 ו-4.4.4) ומקורה בהגדרה שגויה שעלולה לאפשר לתוקף לעקוף בדיקת סיסמאות בעת חיבור ל-Crowd App ולבצע קריאות API. לדברי החברה, ניצול החולשה תלוי במספר תנאים, בהם הגדרת Remote Address לכלילת הרשאות של כתובת IP, דבר המהווה סטייה מהגדרות ברירת המחדל.
החולשה השנייה (CVE-2022-43781) היא מסוג הזרקת פקודות ומצויה ב-Bitbucket Server and Data Center, בגרסאות בהן פונקציית ה-"mesh.enabled" מנוטרלת תחת "bitbucket.properties" (גרסאות 7.0 עד 7.21 ו-8.0 עד 8.4). החולשה עלולה לאפשר לתוקף בעל הרשאות במערכת לשלוט בשם המשתמש על מנת להריץ קוד במערכת.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכוני אבטחה של Foxit למוצרי ה-PDF Reader וה-PDF Editor נותנים מענה ל-4 חולשות ברמת חומרה גבוהה
מקור החולשות במנוע ה-JavaScript שבתוכנות, והן עלולות לאפשר לתוקף מרוחק לחשוף מידע, לבצע מתקפת מניעת שירות (DDoS) ולהריץ קוד מרחוק (RCE). טרם פורסמו לחולשות ציוני CVSS.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסתם החדשה, 12.0.2. במידה ולא נעשה שימוש בקובצי PDF המכילים קוד JavaScript, ניתן לחילופין להשבית את האפשרות להפעיל קודי JavaScript.
עדכון אבטחה לליבת Ubuntu נותן מענה ל-8 חולשות, 5 מהן ברמת חומרה גבוהה
על פי הודעתה של חברת Canonical אודות החולשות שנמצאו בליבת המערכת (Kernel) של מערכת ההפעלה, גרסאות המוצר הפגיעות הן Ubuntu 22.04 LTS ו-Ubuntu 20.04 LTS וחבילות הליבה (Kernel) הפגיעות הן:
linux-gcp-5.15 - Linux kernel for Google Cloud Platform (GCP) systems
linux-gke-5.15 - Linux kernel for Google Container Engine (GKE) systems
linux-intel-iotg - Linux kernel for Intel IoT platforms
linux-raspi - Linux kernel for Raspberry Pi systems
החולשות עלולות לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS), להריץ קוד מרחוק (RCE) ולקבל גישה למידע רגיש אודות המערכת (Kernel memory).
צוות קונפידס ממליץ לכל בעלי מערכות ההפעלה הפגיעות מסוג Ubuntu לעדכנן על פי ההוראות שפורסמו עבור כל סוגי החבילות הפגיעות, ולשמור על שגרת עדכונים שוטפת.
התקפות ואיומים
בעת הורדת קבצים ממקורות אינטרנטיים שאינם מוכרים (לרוב מדובר בקבצים ללא חתימה דיגיטלית), מערכת ההפעלה Windows מרבה להשתמש ברכיב MOTW) Mark-of-the-Web), המתריע על כך למשתמש בניסיון להגביר את ערנותו לקובץ. בתחילת החודש (ראו ״הסייבר״, 3.11.22) זיהה חוקר אבטחת המידע המכונה proxylife קמפיין פישינג חדש המנצל חולשת Zero-day להפצת הנוזקה Qakbot. נוזקה זו הופצה בעבר באמצעות מייל פישינג שהכיל קובץ ZIP מוצפן בסיסמה, בו ניתן היה למצוא קובצי ISO עם קובצי LNK ו-DLL, שמטרתם להדביק את עמדת הקורבן בנוזקה. השימוש בקובצי ISO להפצת הנוזקה נבע מכך שמערכת ההפעלה Windows לא ידעה להחיל את התרעת האבטחה של MOTW על קבצים המצויים בתוך קובצי ISO. מכיוון שבעדכון האחרון של מיקרוסופט לחודש נובמבר ניתן מענה לבאג ותוקנה החולשה, וכתוצאה מכך קובצי ISO כבר אינם נותנים מענה לצרכי התוקפים, האחרונים החלו לנצל לשם כך חולשה אחרת, שנמצאה באוקטובר האחרון, ולהשתמש בחתימה דיגיטלית שאינה תקינה בקובצי JS.
הסוף לשימוש ב-Cobalt Strike בקרב האקרים?
הכלי Cobalt Strike, המשווק על ידי חברת Fortra, משמש ״צוותים אדומים״ המדמים סיטואציות של חדירה לרשתות ארגונים ומסייע להם לבדיקת מערכות הגנה בכל רחבי העולם. ואולם, לא רק שחקנים לגיטימיים עושים שימוש בכלי, וגרסאות פרוצות רבות שלו משמשות האקרים לתנועה רוחבית ברשתות לאחר חדירה לארגונים, ואף כמטען שלב שני (Second-stage) במהלך מתקפות. צוות המחקר של Google ניתח 34 גרסאות פרוצות של הכלי, 275 קובצי ספריות דחוסות שלו ולפחות 340 קבצים בינאריים של גרסאות שונות של Cobalt Strike, כולם מ-2012 ואילך, וקיטלג את כל רכיביו, לרבות כאלה שהוצפנו בהצפנת XOR. כתוצאה מהניתוח נוצרו 165 חתימות וחוקי YARA. כל הנתונים פורסמו בפומבי על מנת לסייע בזיהוי מוקדם של תקיפות המשתמשות ב-Cobalt Strike (גרסאות הכלי הלגיטימיות לא נותחו ולא הוזנו נתונים אודותיהן למאגר שפורסם), כאשר החתימות הדיגיטליות שנמצאו זמינות גם ב-VirusTotal, וחוקי ה-YARA זמינים ב-GitHub.
צוות קונפידס ממליץ להזין את המזהים שפורסמו בכלי ההגנה של ארגונים, לשם זיהוי מוקדם של תקיפה אפשרית.
נפרצו חשבונות של משתמשי המשחק DraftKings; החברה תפצה לקוחות על כספים שנגנבו כתוצאה מהתקיפה
שחקנים של המשחק הפופולרי דיווחו על בעיות התחברות לחשבונותיהם בפלטפורמת המשחק, ככל הנראה משום שנגנבו. המכנה המשותף לכל החשבונות בהם דווח על בעיה הוא שבוצעה בהם הפקדה ראשונית בסך 5 דולר, שאחריה תוקפים שינו את סיסמת החשבון ואיפשרו אימות דו-שלבי (2FA) דרך מספר טלפון שאינו של המשתמש המקורי. הדבר איפשר להם למשוך כספים מחשבונות הבנק המקושרים למשתמשי המשחק. פול ליברמן, נשיא ומייסד שותף של DraftKings, צייץ בחשבון הטוויטר שלו כי ״כרגע אנו מאמינים שפרטי ההתחברות של הלקוחות נפגעו באתרים אחרים, ולאחר מכן שימשו לגישה לחשבונות ה-DraftKings שלהם, שם נעשה שימוש באותם פרטי התחברות. לא ראינו כל ראיה לכך שמערכות DraftKings נפרצו". בתוך כך, החברה המליצה ללקוחותיה שלא להשתמש באותה סיסמה ליותר משירות מקוון אחד. כמו כן, היא ממליצה ללקוחות שטרם נפגעו באירוע להפעיל מיד 2FA בחשבונותיהם ולהסיר מהם את הקישור לחשבונות הבנק שלהם. ההפסדים מחטיפת החשבונות עומדים על 300,000 דולר, ולדברי החברה יש בכוונתה לפצות את הלקוחות שנפגעו.
תוסף של Google Chrome משמש לגניבת מטבעות קריפטו וסיסמאות
התוסף VenomSoftX מותקן על ידי נוזקות לטובת גניבת מטבעות קריפטו ותוכן מלוח ההעתקה (Clipboard). כאשר משתמש גולש באינטרנט, התוסף מותקן על ידי הנוזקה ViperSoftX, המיועדת ל-Windows ומתפקדת כמעין RAT, ה״חוטף״ מטבעות קריפטו על בסיס JavaScript. הנוזקה ViperSoftX, הפועלת מ-2020, נחשפה על ידי חוקרי האבטחה קולין קאווי ו-Cerberus ופורסמה בעבר בדוח של Fortinet. כעת, דוח חדש של חוקרי Avast מספק פרטים רבים יותר על התוסף הזדוני, כאשר מתחילת השנה חשפה החברה ובלמה 93,000 ניסיונות הדבקה של ViperSoftX, בעיקר בארצות הברית, באיטליה, בברזיל ובהודו. לרוב, ViperSoftX מופצת על ידי קובצי טורנט המכילים קובצי ״פיצוח״ (Crack) למשחקים ותוכנות להפעלת מוצרים באופן פיראטי. מניתוח כתובות ארנקי הקריפטו שנמצאו בדוגמאות של ViperSoftX ו-VenomSoftX הסיקה Avast שהנוזקות הכניסו למפעיליהן כ-130 אלף דולר עד ל-8 בנובמבר השנה. עם הורדת קובץ ההפעלה של הנוזקה נוצרים חמישה קבצים, כאשר שורת הקוד הזדוני היחידה מוחבאת בסוף קובץ טקסט בנפח 5MB, המפעיל את ViperSoftX stealer. הגרסה החדשה של ViperSoftX אינה שונה מהותית מקודמותיהן, והיא מאפשרת גניבת מידע מארנקי קריפטו, הרצת קוד שרירותי, הורדת קבצים משרת C2 ועוד. השינוי המרכזי בגרסה זו מתבטא בהתקנת התוסף ViperSoftX בדפדפנים מבוססי Chrome. על מנת להימנע מגילוי על ידי המשתמש, התוסף מוסווה תחת השמות Google Sheets 2.1 או Update Manager. במהלך החקירה התגלה ש-VenomSoftX גונב מטבעות קריפטו על ידי חיבור לבקשות API לבורסות קריפטו פופולריות או לכאלה שהקורבן חבר בהן. כאשר מבוצעת בקשת API, התוסף משנה אותה לפני שהיא נשלחת, כדי להפנות את הכספים לארנקי התוקף, והוא אף מאפשר לשנות סכום ההעברה לסכום המקסימלי האפשרי. עוד מאפשר התוסף לשנות את ה-HTML של אתרים על מנת לתמרן את האלמנטים שברקע לשם הפניה מחדש של תשלומים לארנקי התוקף, וניתן להשתמש בו גם לגניבת סיסמאות שהוזנו בבורסות הקריפטו שהקורבן התחבר אליהן.
צוות קונפידס ממליץ למשתמשי דפדפנים מבוססי Chrome לבדוק את המצאות התוסף הזדוני במכשיריהם, בהתבסס על כך שתוסף Chrome לגיטימי של Google Sheets מותקן תחת chrome://apps/ ולא כתוסף.
הנוזקות AXLocker ,Octocrypt ו-Alice מובילות גל חדש של תקיפות כופרה
בדוח של Cyble, החושף את המגמה, מתואר אופן הפעולה של שלוש הכופרות החדשות שהתגלו. כיום, כופרות מהוות את אחת ממשפחות הנוזקות הרווחיות ביותר עבור האקרים ונחשבות לאחת מבעיות אבטחת הסייבר המשמעותיות ביותר ברחבי האינטרנט.
AXLocker, הכופרה הראשונה המתוארת בדוח של Cyble, משמשת בעיקר לגניבת אסימוני Discord, וביכולתה להצפין מספר סוגי קבצים ולהוציא אותם לחלוטין מכלל שימוש, כל זאת באמצעות אלגוריתם ההצפנה AES. לאחר סיום ההצפנה תופיע במערכת הקורבן הודעת כופר, לפיה לשם קבלת כלי פענוח לשחזור הקבצים יש להעביר תשלום לידי התוקפים. מניתוח אופן פעולת הכופרה נמצא כי היא מסתירה עצמה באמצעות שינוי תכונות הקובץ וקוראת לפונקציה ()startencryption לשם הצפנת קבצים. פונקציה זו מכילה קוד לחיפוש קבצים על ידי ספירת הספריות הזמינות בכונן C, תוך חיפוש סיומות קבצים ספציפיות להצפנה (הקוד של נוזקה זו אינו כולל רשימת ספריות להצפנה). בשלב הבא נקראות פונקציות אחרות, לביצוע הצפנה נוספת, שאחריה הכופרה אוספת ושולחת אל התוקפים מידע רגיש, כגון שם המחשב, שם המשתמש, כתובת ה-IP של המכונה, מערכת ה-UUID ואסימוני Discord. לגניבת אלה האחרונים, הנוזקה מתמקדת בספריות הבאות:
-
Discord\Local Storage\leveldb
-
discordcanary\Local Storage\leveldb
-
discordptb\leveldb
-
Opera Software\Opera Stable\Local Storage\leveldb
-
Google\Chrome\User Data\\Default\Local Storage\leveldb
-
BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
-
Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb
לבסוף, AXLocker מציגה חלון קופץ עם הודעת כופר ובה הנחיות ליצירת קשר עם התוקפים, לשם שחזור הקבצים המוצפנים.
הכופרה השנייה שנחקרה היא Octocrypt, שהינה מזן חדש של כופרות המכוונות לכל גרסאות Windows. הכופרה בונה, מצפינה ומפענחת בשפת Golang, ומפעיליה עובדים במודל של (Ransomware-as-a-Service (RaaS, או ״כופרה כשירות״, והחל מאוקטובר נצפו בפורומים של פושעי סייבר כשהם מציעים את כלי התקיפה שברשותם תמורת 400 דולר. ל-Octocrypt ממשק אינטרנטי פשוט לבניית המצפין והמפענח, ועמוד אינטרנט ייעודי בו מוצגים פרטי קורבנותיה. מניתוח הכופרה עלה שלאחר הרצת קובץ ההפעלה הבינארי שלה היא מתחברת לרשת המערכת הנגועה ובודקת את חיבור ה-TCP, על מנת לגשת לכתובת URL באמצעות בקשת API. לאחר מכן מתחיל תהליך ההצפנה, על ידי איסוף מידע על ספריות קיימות והצפנת קובצי הקורבן באמצעות האלגוריתם AES-256-CTR, כאשר לקבצים שהוצפנו נוספת הסיומת ”octo.״. לאחר מכן הכופרה טומנת במספר תיקיות הודעת כופר בדמותו של קובץ בשם "INSTRUCTIONS.html", ולבסוף משנה את רקע מכשיר הקורבן להודעה מאיימת בדבר תשלום כופר לכתובת ספציפית של ארנק Monero.
הכופרה האחרונה המנותחת בדוח היא Alice, שהוצעה גם היא בפורומים של פושעי סייבר ופועלת תחת מודל RaaS. הכופרה Alice מאפשרת לתוקפים ליצור קבצים בינאריים של כופרות עם הודעות כופר מותאמות אישית, שלאחר הזנתן ולחיצה על כפתור "בנייה חדשה" ב-Alice מופקים שני קובצי הפעלה, Encryptor.exe ו-Decryptor.exe. הרצת הכופרה על המחשב הנתקף מצפינה את קובצי הקורבן, מוסיפה להם את הסיומת "alice." ומניחה הודעות כופר בשם "How to Restore Your Files.txt" במספר תיקיות.
כופרות ממשיכות להוות סיכון גדול לחברות, ליחידים, לממשלות ולמדינות, וקורבנותיהן עלולים לאבד נתונים יקרי ערך כתוצאה מהמתקפות. לשם התגוננות מפני האיום הגובר ומשתכלל, יש ליישם במערכות שיטות ובקרות אבטחה מומלצות.
צוות קונפידס ממליץ להזין במערכות הגנה ארגוניות את מזהי התקיפה (IOCs) המופיעים במחקר המלא.
Google Play, חנות האפליקציות של Android, כבית לאפליקציות זדוניות
במהלך החודשים האחרונים זוהו בחנות, הנתפסת כ״סביבה בטוחה״ למשתמשי Android, מספר אפליקציות זדוניות. בין היתר, חוקרי Bitdefender זיהו בה אפליקציות זדוניות אשר ״מקפיצות״ למשתמשים מספר רב של מודעות פרסומת שמובילות לאתרים זדוניים, בהם גלומה סכנה ליפול קורבן למתקפות משמעותיות יותר. עוד מצאו החוקרים כי לאחר הורדת האפליקציות אל המכשיר, ובהתאם למיקומו הגיאוגרפי של הקורבן, מורד הטרויאני הבנקאי SharkBot, שמשמשת לאיסוף מידע מהמכשיר. האפליקציות הזדוניות מוסוות כאפליקציות לניהול קבצים, אשר מראש מבקשות מהמשתמשים הרשאות גבוהות, הדרושות להורדת הנוזקות. דוגמאות לאפליקציות הזדוניות שנמצאו הן X-File Manager ,FileVoyager ו-LiteCleaner M.
צוות קונפידס ממליץ להימנע מהורדת אפליקציות שאינן מוכרות, ולהתקין על מכשירים אמצעי הגנה חכמים, שביכולתם לזהות אפליקציות וקבצים זדוניים.
נוזקת Aurora: איום חדש ב״מגרש של הגדולים״
חברת SEKOIA.IO חשפה פרטים אודות נוזקה חדשה לגניבת נתונים המכונה Aurora, ואשר מספטמבר נצפתה עלייה בדגימותיה ובשרתי ה-C2 המשמשים אותה ברחבי הרשת. הנוזקה אינה מזוהה או מתועדת היטב בפומבי, והיא ונמכרת ברשת האפלה כ-(Malware-as-a-Service (MaaS, או ״נוזקה כשירות״. במקביל, הופסקה פעילותו של הבוטנט Aurora, וההשערה היא שמפעיליו עברו להתרכז בפיתוח נוזקות לפי דרישה. זאת ועוד, בפורומים המשמשים כנופיות סייבר נצפו פרסומים אודות הנוזקה Aurora ויכולותיה המתקדמות, בהן חמיקה מזיהוי, גניבת נתונים ממקורות רבים, טעינת נוזקות נוספות וחוסר-תלות ברשת. מחירי הרישיונות להפעלתה עומדים על 250 דולר לחודש ו-1,500 דולר ללא הגבלה, ולדברי צוות החוקרים קבוצות תקיפה רבות הודיעו בפורומים ייעודיים שהוסיפו את הנוזקה לארסנל הנוזקות שלהם. הצהרות אלה תואמות את הגידול בדגימות הנוזקה שנצפו ברשת. כמו כן, נצפו שיטות שונות לפיתוי קורבנות להורדת הנוזקה, בהן דפי פישינג והורדות, ואף סרטוני YouTube. להערכת החוקרים, כל גורם המשתמש בנוזקה מפיץ אותה בדרך שונה.
Aurora, הכתובה בשפת התכנות Go, משתמשת בעיקר בספריית lxn/win, המיועדת למערכת ההפעלה Windows ומבססת את התקשורת שהנוזקה מקיימת באמצעות קריאות API המועברות בפרוטוקול TCP. שיטת איסוף המידע שלה מתבססת על לולאה עם שמות של דפדפנים, על הרחבות לדפדפנים ועל אפליקציות מוכרת ונתיבים גנריים המצויים במערכת ההפעלה. עוד מצאו חוקרי SEKOIA.IO כי שיטת טעינת הנוזקה מיושמת באמצעות ספריית net/http, אשר מורידה את הנוזקה מהנתיב שהוזן על ידי שרת ה-C2 ומפעילה אותה על ידי שימוש ב-PowerShell.
צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) שפורסמו, לגלות ערנות למיילי פישינג ולהוריד תוכנות ממקורות ידועים בלבד.
הנוזקה DUCKTAIL ממשיכה לתקוף חשבונות עסקיים בפייסבוק
לאחר שביוני השנה פרסמה חברת WithSecure Labs דוח בנושא הנוזקה, בו חשפה קמפיין שהתנהל נגד ארגונים הפועלים בפלטפורמת העסקים והמודעות של פייסבוק, ולאחר שבאוקטובר פרסמה חברת Zscaler דוח נוסף בנושא (ראו ״הסייבר״, 20.10.22), כעת משחררת WithSecure Labs דוח שני על פעילות הנוזקה, המתמקדת בגניבת מידע. להערכת החברה מדובר בקמפיין מתמשך, שאינו קשור לקמפיין הקודם של DUCKTAIL, ואשר במסגרתו האקרים שככל הנראה פועלים מווייטנאם מתמקדים בעובדי חברות שעשויים להיות בעלי גישה לחשבון הפייסבוק של החברה. DUCKTAIL נועדה לגניבת קובצי עוגיות מדפדפנים ולניצול פעילויות פייסבוק מאומתות לגניבת מידע מחשבון הקורבן בפלטפורמה. לדברי צוות ה-IR של WithSecure Labs, קורבנות DUCKTAIL קיבלו דרך ה-WhatsApp קובצי ארכיון שהכילו את הנוזקה ושנועדו למערכת ההפעלה Windows. במקרים בהם לא יכלו ההאקרים להוסיף את המייל שלהם אל חשבונות הפייסבוק העסקיים של הקורבנות ובכך לגנוב אותם, הם הסתמכו על מידע שכבר הוציאו מהם וניסו להתחזות אליהם על מנת להשיג את מטרותיהם. מ-Meta, חברת האם של פייסבוק, נמסר כי היא מברכת על מחקרי האבטחה בנוגע לאיומים המכוונים נגד התעשייה, וכי בחברה ״מודעים להאקרים הללו, נוקטים באופן קבוע בפעולות נגדם וממשיכים לעדכן את מערכותינו על מנת לזהות את ניסיונות הפריצה שלהם. מכיוון שנוזקה זו מורדת בדרך כלל מחוץ לפלטפורמה, אנו ממליצים לגלות זהירות בנוגע לתוכנות המותקנות במכשירים".
צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) שפורסמו.
התגלו שני תוספי Chrome זדוניים שהורדו יותר מ-200,000 פעמים על ידי משתמשי Roblox
Roblox הינה פלטפורמת משחקים מקוונת, המאפשרת למשתמשיה לפתח משחקים ולשחק במשחקים שפותחו על ידי משתמשים אחרים. לאחרונה התגלו שני תוספים בשם SearchBlox, המתיימרים לאפשר למשתמשי Roblox לחפש בשרתי החברה אחר שחקן מסוים. התוספים מכילים דלת אחרוית המאפשרת להאקרים לגנוב Credentials מחשבון ה-Roblox ונכסים מ-Rolimons, פלטפורמת מסחר של Roblox. ב-22 בנובמבר חשבון לא רשמי של Roblox צייץ בטוויטר על כך שהתוסף מכיל דלת אחורית, ושיש להסירו ולשנות את סיסמאות המשתמשים שהתקינו אותו. בשעה זו טרם התברר אם מדובר בדלת אחורית שנוצרה בכוונת תחילה על ידי המפתחים או רק לאחר שבוצעה פגיעה בתוספים, אך זו אינה הפעם הראשונה שהתוסף SearchBlox פוגע במשתמשי Roblox, ובעבר כבר הוסר על ידי Google. מגזין אבטחת המידע BleepingComputer ניתח את התוספים ודיווח על הממצאים ל-Google, שמסרה בתגובה כי השניים הוסרו מחנות ה-Chrome ויוסרו באופן אוטומטי מהמחשבים בהם הותקנו.
צוות קונפידס ממליצים למשתמשי Roblox להסיר את התוסף (אם טרם הוסר), לשנות את סיסמאות חשבונותיהם ולנקות את העוגיות מחשבונות ה-Roblox וה-Rolimons שלהם ומאתרים אחרים שאליהם בוצעה התחברות בזמן שהתוסף היה מותקן.
אתרים מזויפים של MSI Afterburner מדביקים בכורי מטבעות קריפטוגרפיים
MSI Afterburner הוא כלי בעל יכולות גבוהות, שלרוב מצוי בשימוש מחשבים המיועדים למשחקים ומנטר ביצועי מערכת על מנת לאפשר למשתמשים לבצע שינויים בחומרה, להגברת תפוקת ביצועי המחשב. לאחרונה קבוצת חוקרים מחברת Cyble זיהו מספרי קמייפני פישינג המתמקדים בתוכנות MSI Afterburner לשם הערברת כורי קריפטו למחשבי קורבנות. הקמפיין מתבסס על עמודי פישינג מתוחכמים, שנראים כמו עמודי הורדה לגיטימיים של MSI Afterburner אך בפועל מורדת דרכם נוזקה המבצעת את תהליך הכרייה, לצד קובץ התקנה של תוכנת MSI Afterburner לגיטימית. הורדה כפולה זו מאפשרת לתוקף להקצות משאבי מערכת כמו GPU לטובת תהליך הכרייה ללא הסכמת המשתמש. צוות החוקרים זיהה במהלך שלושת החודשים האחרונים כ-50 אתרי פישינג המתמקדים ב-MSI Afterburner ומעבירים כורי קריפטו. במהלך חקירתו הוריד הצוות את הקובץ MSIAfterburnerSetup.msi מאחד מאתרי הפישינג הללו ומצא שהוא הכיל 4 קובצי הרצה, שבתוכם הנוזקה RedLine Stealer והתוכנה XMR Miner. במהלך הפעלת הקובץ MSIAfterburnerSetup.msi מותקנת תוכנת הכרייה XMR Miner ביחד עם תוכנת ה-MSI Afterburner, כאשר התקנת ה-XMR Miner מתבצעת בצורה ״שקטה״ ברקע, על ידי הזרקת קוד זדוני לתהליכים שרצים, ומבלי לשמור מטען זדוני בדיסק הקשיח. כורה הקריפטו מותקן על ידי Loader בשם browser_assistant.exe, שהוא קובץ התקנה מסוג PyInstaller. בעת הפעלתו של browser_assistant.exe, הוא מוריד מספר קבצים לתמיכה ב-Python לתוך תיקיית %temp%, בהם הקובץ Binary_Stub_Replacer.pyc, שאחראי על פעילות כורה הקריפטו. נוסף על תהליך הכרייה, הנוזקה אוספת מידע על המחשב ומעבירה אותו לשרת ה-C&C של התוקף.
צוות קונפידס ממליץ לחסום את מזהי התקיפה (IOCs) שפורסמו במחקר של Cyble, וכן להוריד תוכנות ממקורות ידועים בלבד ולהימנע מהורדת תוכנות ״פרוצות״ מטורנטים ומקישורים המופיעים באתרים ובפורומים שונים.
השבוע בכופרה
נפרצה AirAsia, חברת התעופה הגדולה במלזיה; מידע של עובדיה ושל 5 מיליון נוסעים מוצע למכירה ברשת
קבוצת ההאקרים Daixin, שלקחה אחריות על הפריצה, סיפקה לאתר DataBreaches קובץ המכילי מידע על נוסעי החברה וקובץ נוסף, המכיל מידע אישי של עובדי חברת התעופה. דובר הקבוצה מסר כי AirAsia לא ניסתה לנהל משא ומתן על סכום הכופר, וכי אמצעי האבטחה הירודים של החברה אפשרו את המתקפה. לדבריו, בזמן הצפנת הקבצים ומחיקת גיבויים של הארגון, חברי Daixin נמנעו מלפגוע בציוד הנוגע לבקרת תעבורה אווירית ולמכ״מים, משום שלטענתו הם נמנעים מביצוע פעולות שעלולות לסכן חיים. למרות ש-DataBreaches שלחה פניות במייל לקצין הגנת המידע של AirAsia לשם קבלת תגובה, נכון לכתיבת שורות אלה פנייתה טרם נענתה. בתוך כך, לשכת החקירות הפדרלית (FBI), הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) ומחלקת הבריאות ושירותי האנוש של ארצות הברית (HHS) פרסמו מזכר משותף הנוגע ל-Daixin, שפרצה לארגונים אמריקאים רבים, בעיקר במגזר הבריאות.
קבוצת הכופרה Donut מציגה הודעות כופר יצירתיות ושיטת סחיטה כפולה
על פי דוח שפורסם במגזין אבטחת המידע BleepingComputer, נראה שהקבוצה, שהופיעה לראשונה באוגוסט השנה, מצפינה קבצים של קורבנות מספר פעמים, דבר שהתגלה לאחר שמידע של חברות שהוצפן על ידי Donut הגיע לאתריהן של קבוצות תקיפה אחרות, כמו Hive ו- Ragnar Locker. נתון זה עשוי להצביע על כך שהקבוצה מהווה גם שותפה (Affiliate) של קבוצות אחרות. מלבד שיתוף הפעולה עם שחקנים נוספים, Donut עובדת בשיטת הסחיטה הכפולה, כאשר מלבד הצפנת הקבצים ודרישת תשלום כופר עבור שחרורם, היא אף מאיימת בהדלפת המידע שהוצפן ונגנב, במידה ולא תקבל תשלום. פרט מעניין נוסף, שהעלה החוקר דואל סנטוס, הוא זה לפיו ה-TOX ID (הכתובת להתכתבות מאובטחת על גבי TOX chat) שנמצא במכתבי הכופר של הקבוצה מצוי גם במכתבי הכופר של קבוצת הכופרה HelloXD. זאת ועוד, מניתוח תוכנת ההצפנה של Donut עולה שהיא מצפינה רק סוגים מסוימים של קבצים, ותימנע מלהצפין כאלה הקשורים לדפדפנים שונים (Edge ,Opera, דפדפנים מבוססים Chromium ועוד), ככל הנראה על מנת לאפשר לקורבן לקרוא את מכתב הכופר, שנפתח בדפדפן, ולצורך הורדת כלי התקשורת עם התוקף. בתוך כך, הקבוצה מציגה יכולות יצירתיות במיוחד, בדמותם של מכתבי כופר המשלבים אנימציות. באחד מהמקרים, במכתב הכופר שנפתח בדפדפן הוצגה אנימציית ASCII בצורת עוגת דונאט, ובמקרה אחר הופיעה אנימציה שדימתה קוד Visual Basic שנכשל, כשהודעת הכישלון היתה, למעשה, הודעת הכופר. בשעה זו הכופרה עודנה בתהליך ניתוח וטרם פורסמו מזהי תקיפה (IOCs) רלוונטיים.
סייבר בעולם
חוקרי Unit 221B פיצחו את מפתחות ההצפנה של נוזקת Zeppelin
בדוח שפרסמו החוקרים מתואר תהליך פיצוח המפתחות, פעולה בה נקטו על רקע פגיעת הנוזקה במקלטים לחסרי בית ובעמותות וארגוני צדקה. Zeppelin היא כופרה רוסית הכתובה בשפת Delphi, ולה מספר תכונות טכניות ייחודיות, אחת מהן היא הצפנת קבצים תוך שימוש במפתחות שונים, כגון RC4 ,AES-CBC-256 ו-RSA, האחרונה היא מערכת קריפטו אסימטרית פופולרית, אשר לרוב משמשת להקלה על החלפת מפתחות קריפטוגרפיים סימטריים. כאשר Zeppelin מסיימת להצפין את הקבצים, היא מוחקת מהמערכת את כל המפתחות הציבוריים בהם השתמשה ומסירה את קובץ ההפעלה עצמו, כדי להכשיל את מאמצי הזיהוי. לכל קובץ מוצפן יש מפתח משלו, החבוי בכותרת התחתונה של הקובץ, כלומר מוצפן במפתח ציבורי RSA-512 זמני, שנוצר באקראי במכונה המודבקת. הנחת החוקרים היתה שאם יצליחו לשחזר את המפתח הציבורי RSA-512 מה-Registry, יוכלו לפצח אותו ולקבל את מפתח ה-AES-256 סיביות, שמצפין את הקבצים. בכך היה אתגר מיוחד, שכן התוקפים מוחקים את HKCU\Software\Zeppelin\Public Key ברגע שהקבצים מוצפנים במלואם, ונפתח חלון של 5 דקות בלבד בו ניתן לאחזר את המפתח הציבורי, לפני שהנתיב האמור נמחק.
במהלך חקירה פורנזית של ה-Registry שנפגע מהנוזקה החוקרים השתמשו בשילוב של קוד וכלים קיימים, כגון yarp ו-regipy, כדי לגלף מידע רישום מהכונן הקשיח ומהזיכרון שלו, וכן מהגיבוי של ה-Registry. לבסוף, הם הצליחו לחצוב מ-NTUSER.dat את המפתח הציבורי המקודד ב-Base64 עבור Zeppelin, בתהליך שארך 6 שעות והצריך 20 שרתים, כל אחד מהם בעל 40 מעבדים, וכן חלוקת מפתח RSA בעל 520 סיביות ושימוש ב-800 מעבדים נוספים. לאחר מכן, בתהליך ארוך, עלה בידי החוקרים לפענח את מפתח ה-AES ואת הקבצים המוצפנים באמצעות חישובים מתמטיים מסובכים.
ה-CISA, ה-FBI וה-HHS פרסמו במשותף דוח בנושא הגנת נכסים חיוניים מפני מתקפות כופרה
לפי הדוח, שפורסם בשיתוף פעולה בין הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), לשכת החקירות הפדרלית (FBI) ומחלקת הבריאות ושירותי האנוש של ארצות הברית (HHS), בחודש נובמבר יותר מ-1,300 חברות ברחבי העולם חוו מתקפת כופרה על נכסיהן, ודמי הכופר ששולמו לתוקפים הסתכמו בכ-100 מיליון דולר. תופעה זו הולכת ומתרחבת משום שקבוצות תקיפה גדולות מוכרות ומשכירות את כלי התקיפה שברשותן לקבוצות קטנות וחדשות. על פי הדוח, כניסתם הראשונית של התוקפים לרשת הקורבן מבוססת תמיד על ניצול חולשות קיימות במערכת ו/או על בסיס הנדסה חברתית (קמפייני פישינג ועוד). לאחר מכן, התוקפים מתרחבים ברשת ומחפשים קבצים המכילים מידע בעל ערך, שיעמוד במוקד המיקוח על תשלום הכופר מול הקורבן. לאחר מציאת הקבצים, הכופרה תנסה לחמוק מתוכנות ההגנה המותקנות במכשיר הקורבן, תוך העברת הקבצים אחורנית, ובטרם אלה יוצפנו - הנוזקה תשבית את מערכות ההגנה האמורות. לאחר ביצוע ההצפנה יופיע קובץ שיאפשר לתוקפים לתקשר עם הקורבן. על מנת להתגונן מפני מתקפות כופרה מומלץ, בין היתר:
-
לוודא שמערכות ההפעלה והאפליקציות שבשימוש ארגונים מעודכנות ומתעדכנות תדיר לגרסאותיהן האחרונות.
-
לוודא שמוגדר אימות רב-שלבי (MFA) בכל פלטפורמה ואפליקציה בהם ניתן לעשות זאת.
-
להפריד הרשאות גבוהות למספר משתמשי אדמין, כך שפריצה לאחד מהם תגביל את הפעולות שיוכל התוקף לבצע.
בריטניה: בחדרי התדרוך של משרדי הממשלה העוסקים בניהול משברים מתנהלים בעיקר דיונים בנושאי מתקפות כופרה
בשל השפעתן העצומה של מתקפות כופרה על ארגונים בבריטניה וברחבי העולם כולו, דיוני ממשלה בנושאי ניהול משברים ומקרי חירום בבריטניה, שבעבר כונסו בעיקר בתגובה לפיגועי טרור, מתמקדים יותר ויותר באירועי אבטחת סייבר המשפיעים על שירותים קריטיים. לפי דוח של המרכז הלאומי להגנת סייבר (NCSC) של בריטניה, במהלך 2022 מאות עסקים וארגונים בריטיים דיווחו על תקריות סייבר, מתוכן 63 היו משמעותיות עד כדי כך שהצריכו תגובה ברמה הלאומית. אחד מהאירועים הללו היה המתקפה שחוותה באוגוסט האחרון חברת Advanced, ספקית התוכנה של שירותי הבריאות הלאומיים (NHS) (ראו ״הסייבר״, 11.8.22, ״הסייבר״, 18.8.22 ו״הסייבר״, 1.9.22). לאחרונה הצטרפה בריטניה ליוזמה בינלאומית הכוללת כ-40 מדינות, שקמה במטרה לדון ביכולת ההתמודדות המדינתית עם האיום על הביטחון הלאומי שגלום במתקפות כופרה.
ויאצ'סלב פנצ'וקוב (40) הפרו-רוסי, שנעצר לפני מספר שבועות בז׳נבה שבשוויץ, הנהיג את קבוצת ההאקרים JabberZeus, שהיתה לחלוצת השימוש בכלי המכונה (Man-in-the-browser (MITB, המשמש לגניבת מידע שנשלח דרך האינטרנט. בתוך כך, ארצות הברית מעוניינת בלכידתו של חבר נוסף בקבוצת התקיפה האוקראינית JabberZeus, מקסים יאקובץ, ומציעה תשלום בסך 5 מיליון דולר עבור מידע שיוביל לתפיסתו.
גול להאקרים: עלייה של 100% בכמות המיילים הזדוניים הנשלחים למדינות ערביות על רקע משחקי המונדיאל בקטאר
עם פתיחת המונדיאל הראשון המתקיים במדינה ערבית, האקרים החלו לכוון נגד מדיניות ערביות מתקפות פישינג המתבססות על המשחקים. לדברי חוקרי אבטחת מידע מחברת Trellix, מדובר בטקטיקה ידועה של הנדסה חברתית, המנצלת אירועים חשובים או פופולריים לתקיפת ארגונים הקשורים לאותם אירועים. העלייה המשמעותית במשלוח מיילים זדוניים למדינות ערב החלה בחודש אוקטובר, תוך ניצול לוח הזמנים הצפוף של עובדי הארגונים הרלוונטיים, לשם הגדלת סיכויי ההצלחה של התקיפות. בין המניעים לפעולות אלה מצויים מטרות רווח, גניבת מידע, מעקב ונזק למוניטין של מדינה או ארגון. החוקרים מצאו מספר הודעות מייל המנצלות את המונדיאל כווקטור תקיפה ראשוני, למשל מייל שמתחזה לכזה הנשלח מצוות התמיכה של FIFA TMS ומכיל התרעה מזויפת בנוגע להסרת אימות דו-שלבי (2FA), וכן קישור המפנה את המשתמש לעמוד פישינג שנראה מקורי, אך בפועל מעביר את הפרטים המוזנים על ידו לשרת הנשלט על ידי התוקף, כל זאת באמצעות סקריפט PHP. עוד גילתה Trellix מספר נוזקות בהן נעשה שימוש במסגרת הקמפיינים האמורים, המובילות שבהן הן Qakbot ,Emotet ,Formbook ,Remcos ו-QuadAgent.
צוות קונפידס ממליץ לחסום את מזהי התקיפה (IOCs) המופיעים כאן ולחדד בפני עובדי ארגונים את הסכנות הגלומות במתקפות פישינג.
נוזקת Emotet זוהתה בתצורה משופרת, לאחר שלא נצפתה מאז חודש יולי
בחודש נובמבר שבה אל הזירה קבוצת ההאקרים TA542, המפיצה את הנוזקה על ידי משלוח של מאות אלפי מיילים ביום, המיילים, שמכילים קובץ Excel זדוני, או קובץ ZIP שבתוכו קובץ ה-Excel, נשלחים לקורבנות בשרשורים חוזרים של התכתבויות קודמות, כך שהמייל המתקבל נראה לגיטימי. עם פתיחת קובץ ה-Excel על מכשיר הקורבן, הוא שולח פקודות למספר דומיינים זדוניים, מהם מורדת Emotet. הנוזקה, המשמשת לריגול ולגניבת מידע רגיש, אינה מזוהה על ידי תוכנות אנטי-וירוס בסיסיות, ועם תחילת פעולתה היא מנסה להתרחב ברשת הקורבן. לפי חוקרי Proofpoint, קובץ ה-Excel שנצפה בחודש האחרון מכיל פקודת העתקה עצמית ל-Microsoft Office Template, המאפשרת הרצה אוטומטית של הפקודות שבתוך קובץ ה-Excel, ״מאחורי הקלעים״ וללא אינטראקציה עם המשתמש. עם זאת, על התוקפים לתקשר עם המשתמשים הנתקפים, על מנת שיאשרו את העתקת הקובץ ל-Microsoft Office Template.
סוחרי מטבעות קריפטו בפלטפורמת Coinbase מצויים על הכוונת של קמפיין פישינג חדש
שיטת פישינג חדשה, שנצפתה על ידי חברת Pixm, מציגה דרכים מתוחכמות לחמיקה מניתוח פורנזי ולשימוש בהנדסה החברתית על מנת לגרום לקורבנות למסור לא רק את פרטי ההתחברות שלהם, אלא גם את קודי האימות הדו-שלבי (2FA) שקיבלו. המתקפה מתחילה במייל המכיל לוגו והודעה המתחזים לכאלה שנשלחו מטעם חברת Coinbase, לרוב, מדובר בהודעה על חשבון שנחסם, כביכול, עקב גישה שאינה מורשית. על מנת לאפס את החשבון, נכתב בהודעה, יש להתחבר אליו בהצלחה דרך קישור המצורף למייל. ואולם, לחיצה על הקישור מובילה את הקורבן לדומיין זדוני המתחזה לאתרה הלגיטימי של Coinbase, שם הוא מתבקש להזין את פרטי ההתחברות שלו לפלטפורמה. הפרטים שהוזנו מועברים בזמן אמת לאתר Coinbase האמיתי דרך התוקף. בשלב הבא נדרש הקורבן להזין באתר הזדוני את קוד ה-2FA שנשלח אליו. קוד זה מועבר אף הוא לידי התוקפים ו-Coinbase בזמן אמת.
עם התחברותם המוצלחת של התוקפים לחשבון הקורבן, נפתח בצדו השמאלי של האתר הזדוני חלון צ'אט שמטרתו לדמות שיחה עם נציג שירות, לאחר שאיפוס החשבון נכשל, לכאורה. מטרת הצ׳אט היא להסיח את דעת הקורבן בזמן העברת מטבעות הקריפטו מחשבונו לחשבון התוקפים. במהלך השיחה, ״נציג הצ׳אט״ מרגיע את הקורבן בנוגע למיילים הלגיטימיים שמתקבלים בתיבת המייל שלו בנוגע להעברות המבוצעות בחשבונו, ואף דולה ממנו מידע שיוכל לסייע לתוקפים להשיג את מבוקשם. עם סיום העברת כל יתרת חשבון הקורבן לידיהם, חלון הצ׳אט נסגר בפתאומיות והאתר הזדוני נופל. מכיוון שעד כה לא נצפו במסגרת הקמפיין דומיינים הפועלים משך יותר משעות ספורות, מנועי החיפוש אינם מספיקים לאנדקס אותם, ולא ניתן למצוא עליהם מידע שיכול לשמש בחקירה פורנזית.
צוות קונפידס ממליץ לגלות ערנות מוגברת למיילים המתקבלים בתיבת המייל ולאתרים בהם מבוצעת גלישה.
יותר מ-3 מיליון מפתחות API דלפו מ-1,550 אפליקציות
חברתת הסייבר הסינגפורית CloudSEK פרסמה כי 1,550 אפליקציות מדליפות מפתחות API של Algolia ומשתמשיהן מסתכנים בחשיפת מידע רגיש ופנימי. Algolia היא פלטפורמה המשלבת מנועי חיפוש לגילוי והמלצות על אתרים ויישומים. הפלטפורמה, המשמשת יותר מ-11,000 חברות, מבוססת על מערכת הכוללת את חמשת מפתחות ה-API הבאים: Admin ,Search ,Monitoring ,Usage ו-Analytics, בהם רק המפתח Search נועד להיות ציבורי, ומטרתו לסייע למשתמשים לבצע חיפוש באפליקציות. חוקרי CloudSEK מצאו 32 אפליקציות המדליפות מפתחות API של Admin, לחלקן יותר ממיליון הורדות, ובסך הכל יותר מ-3,250,000 הורדות ביחד. דליפה זו של מפתחות API היא קריטית, משום שהדבר חושף את משתמשי האפליקציות לדליפות נתונים, ואת מסדי הנתונים לשינויים שעלולים לגרום לנזק עסקי. CloudSEK שיתפה עם מגזין אבטחת המידע BleepingComputer רשימת אפילקציות שהדבר רלוונטי להן, בהן אפליקציות מתחומי החדשות המזון והמשקאות, החינוך, הכושר, הצילום וסגנון החיים, שביחד רושמות יותר מ-950,000 הורדות. לדברי CloudSEK, החברה יצרה קשר עם כל מפתחי האפליקציות האמורות על מנת להתריע בפניהם על דבר הדליפה, אך לא קיבלה כל תגובה לפניותיה.
הקמפיין Luna Moth Gang משתמש בפישינג מסוג Callback נגד עסקים
במהלך הקמפיין נסחטו מאות אלפי דולרים מכמה קורבנות במגזרי המשפטים והקמעונאות, תוך שימוש בטכניקה המבוססת על שיחה חוזרת או התקפה מכוונת-טלפון (TOAD), הנשענת על הנדסה חברתית לשם הבאת קורבנות לביצוע שיחה בעקבות מייל המכיל פתיון. יחידה Unit 42 של Palo Alto Networks, שניתחה את הקמפיין, אמרה כי הוא מאורגן, מתמשך ומתפתח, וכי ההאקרים העומדים מאחוריו השקיעו בתשתיות ייעודיות עבור כל קורבן. Callback Phishing מאופיין בכך שלהודעות המייל שנשלחות לא מצורף כל קובץ זדוני או קישור ממולכד, מה שמאפשר להן לחמוק מזיהוי ומפתרונות הגנה המיושמים על תיבות דוא״ל. לרוב, ההודעות מגיעות עם חשבונית הכוללת מספר טלפון אליו מוזמן הקורבן להתקשר על מנת לבטל מנוי, כביכול. ואולם בפועל, הקורבן מנותב למוקד טלפוני הנשלט בידי התוקף, שבסופו של דבר מתקין במכשיר הקורבן כלי לגישה מרחוק. שיטת תקיפה זו מאפשרת סחיטה ללא הצפנה וגניבת נתונים רגישים ללא צורך בפריסת כופרות. על מנת לנסוך במתקפות נראות אמינה, התוקפים אינם משתמשים בנוזקות כמו BazarLoader לאינטראקציה עם מחשב הקורבן, אלא בכלים לגיטימיים, כגון Zoho Assist, ומנצלים את הגישה שניתנת להם לפריסת תוכנות מהימנות אחרות, בהן Rclone ו-WinSCP. בכך מקטינים התוקפים את הסיכוי שיתגלו. טכניקה זו עשויה לצרוך משאבים רבים, אך היא דורשת רמה נמוכה של תחכום טכני, ועשויים להיות לה אחוזי הצלחה גבוהים בהרבה ביחס למתקפות פישינג מסוגים אחרים. לדברי Unit 42, ״מכיוון שיש מעט מאוד מזהים מוקדמים לכך שהקורבן מותקף, קו ההגנה הראשון [נגד מתקפות אלה] הוא העלאת מודעותם של עובדים לאבטחת סייבר״.
ארה״ב: שימוש לא נכון ב-Meta Pixel גרם לחשיפת נתונים אישיים של 3 מיליון מטופלים בבתי חולים
Advocate Aurora Health, רשת שירותי בריאות המונה 26 בתי חולים בוויסקונסין ובאילינוי, הודיעה למטופליה על הפירצה, שנגרמה כתוצאה משימוש לא נכון ב-Meta Pixel באתרי האינטרנט של הארגון, המכילים מידע אישי ורפואי רגיש. Meta Pixel הינו קטע קוד שעוזר למפעילי אתרים להבין איזה שימוש נעשה באתריהם, ובכך מסייע להם לבצע בהם שיפורים ממוקדים. עם זאת, הקוד שולח נתונים רגישים ל-Meta, חברת האם של פייסבוק, ולאחר מכן משותף ברשת עצומה של משווקים המציגים בפני מטופלים פרסומות התואמות את העדפותיהם. הפרת פרטיות זו עוררה סערה בארצות הברית, שכן ב-Meta Pixel משתמשים בתי חולים רבים ברחבי מדינה, ובכך נחשפים נתונים של מיליוני אנשים לגורמים צד ג׳ והארגונים האחראיים לכך עומדים בפני האפשרות שייתבעו בתביעות ייצוגיות. באוגוסט השנה חשפה ספקית שירותי הבריאות האמריקאית Novant Health כי ביצעה שימוש לא נכון ב-Meta Pixel בעת הטמעת הפורטל MyChart, ובכך חשפה נתונים של 1.3 מיליון חולים (ראו ״הסייבר״, 25.08.22). מ-Advocate Aurora Health נמסר כי ״כאשר מטופלים משתמשים בפורטלים של Advocate Aurora Health הזמינים דרך הפלטפורמות MyChart ו-LiveWell, מידע בריאותי שאמור להיות מאובטח ייחשף בנסיבות מסוימות, במיוחד אם המשתמשים מחוברים בו-זמנית לחשבון הפייסבוק או ה-Google שלהם״. לדברי הארגון, ייתכן שבאמצעות השימוש ב-Meta Pixel נחשפו כתובות IP, תאריכים, שעות ומיקומים של פגישות, מידע על ספקים רפואיים, מידע על ביטוחים, פרטי חשבונות פרוקסי ועוד. הדיווח על הפרת חיסיון הנתונים הועבר למחלקת הבריאות ושירותי האנוש של ארצות הברית (HHS), שתיעדה את הדבר בפורטל דיווחי הפרת הנתונים שלה. ספק שירותי הבריאות השבית את ה-Pixel tracker בכל מערכותיו ומיישם אמצעי הגנה למניעת חשיפה דומה בעתיד. למטופלי הארגון מומלץ להשתמש בתוכנות לחסימת מעקב בדפדפני האינטרנט שלהם או במצב גלישה מוסתר בעת כניסה לפורטלים רפואיים, ועל מטופלים בעלי חשבון פייסבוק או Google לבדוק את הגדרות הפרטיות שלהם.
היורופול השבית את iSpoof, אתר ששימש ככלי Spoofing בידי תוקפים; 142 חשודים נעצרו במבצע בינלאומי
החשודים, בהם גם מנהל האתר, נעצרו בשיתוף פעולה בין כוחות משטרה מרחבי העולם, לרבות אוסטרליה, אנגליה, ארצות הברית וצרפת. באתר הוצעו לתוקפים ברשת מספר כלי תקיפה המאפשרים, בין היתר, לבצע שיחות שיחות טלפון תוך התחזות לבנקים ולגופים אחרים, לשלוח הודעות מזויפות ו״ללכוד״ הודעות אימות דו-שלבי (2FA) טרם הגעתן אל הקורבנות. על פי הרשויות הבריטיות, האתר שלשל לכיסו כ-3.7 מיליון יורו תוך 16 חודשים, והביא להפסדים בסך 43 מיליון פאונד בבריטניה בלבד. ההפסדים הגלובליים שנגרמו מפעילות האתר מוערכים בכ-115 מיליון יורו.
סייבר בישראל
משטרת ישראל מזהירה: לא ללחוץ על קישורים הנשלחים במייל ״מאגף התנועה״
ב-17 בנובמבר פרסם אגף התנועה של המשטרה הודעה חריגה המזהירה אזרחים מפני פתיחת קישורים הנשלחים, כביכול, מטעמו. על פי ההודעה, משטרת ישראל אינה שולחת לאנשים דוחות במיילים יזומים, אלא בדואר רשום בלבד. לאחרונה התקבלה במשטרת התנועה פנייה מעובדת במחלקת כספים בחברה פרטית מוכרת, לפיה קיבלה מייל "מאגף התנועה", בו נטען כי רכבה תועד מבצע עבירה של נסיעה במהירות הגבוהה מזו המותרת. להודעה צורף קישור לצפייה, כביכול, בצילומים ממכמונת מהירות. ואולם, לחיצה על הקישור לא הובילה לצילומים, אלא לדף נחיתה אחר. הדבר עורר את חשדה של העובדת, לאחר שהבחינה שכלל עובדי המחלקה אליה היא משתייכת קיבלו גם הם מייל דומה. מבדיקה ראשונית עלה החשד שמדובר בפנייה מזויפת שמטרתה פישינג והונאה. ממשטרת ישראל נמסר כי זו אינה הפעם הראשונה בה עברייני רשת מנצלים את סיומת ה-URL של משטרת ישראל על מנת לעשוק אזרחים, בהתבסס על ההנחה שמקבל ההודעה יבהל וילחץ על הקישור. משטרת ישראל ממליצה לשים לב לכתובת המייל ממנה נשלח המכתב, כאשר רק אם הסיומת היא ״gov.il״, אכן מדובר במייל שנשלח מרשויות המדינה, לרבות המשטרה. עוד הודגש כי יש לבחון את הפרטים המופיעים בתוכן המכתב, בהם מיקום וזמן ביצוע העבירה. בכל מקרה בו מתעורר חשד שמדובר בפנייה זדונית ובניסיון דיוג, יש לפנות אל המשטרה. להלן צילום של הודעת הפישינג שנשלחה.
(קרדיט: משטרת ישראל, דרך ynet)
לקראת ה-Black Friday ,ShoppingIL וימי הקניות האחרים החלים בחודשים אלה, פורסמה שורת המלצות לציבור לשם קנייה בטוחה ברשת, במקביל להנחיות לארגונים להגנה ושמירה על פרטי לקוחות, בעיקר בכל האמור לרכישה מקוונת ולמשלוחים. הפרסום מגיע על רקע התגברות ניסיונותיהם של האקרים לנצל את ימי השיא של הקניות לביצוע מתקפות, לגניבת כספים ופרטים אישיים ולשיבוש רכישות. בחודש האחרון בלמו מערך הסייבר הלאומי ואיגוד האינטרנט הישראלי ניסיון לרכוש 800 שמות אתרים המתחזים לאתרים קיימים ומוכרים, והתקבלו במוקד 119, המוקד המבצעי של המערך לדיווח על אירועי סייבר, כ-140 דיווחים על אתרים מתחזים שכוונו אל הקהל הישראלי, בהם כ-80 אתרים המתחזים ל״דואר ישראל״. לצד ההמלצה להגברת הערנות, הרשות להגנת הפרטיות קוראת להשתמש בשירותים ייעודיים לבדיקת חשיפתם של סיסמאות ומידע אישי, לוודא שהתשתית, החומרה והמערכות בהו נעשה שימוש מוגדרות נכונה, מעודכנות ומוכנות להתמודדות עם תעבורת מידע מוגברת, לבצע מבדקי חדירות למערכות ארגונים ולבדוק את זמינותם של גיבויים ושחזורים. עוד מציינת הרשות כי בעת התרחשות אירוע אבטחה חמור, יש לדווח לה מיידית. עוד ניתן לפנות אליה בהתעורר כל חשד לאירוע אבטחה, בתלונה הנוגעת להתנהלות של ארגון ובשאלות כלליות בנושא חובות אבטחת מידע. המלצות נוספות לקנייה בטוחה עבור הציבור וארגונים ניתן למצוא כאן.
קבוצת התקיפה האיראנית Moses Staff שבה לפעילות וחדרה למצלמות אבטחת צירים של גוף בטחוני גדול בישראל
בניגוד לדיווחים הראשוניים בנושא, לא מדובר במצלמות אבטחה של המשטרה או של עיריית ירושלים. לאחר הפריצה, קבוצת התקיפה השיגה תיעוד של הפיגוע המשולב שאירע בירושלים, אותו פרסמה בערוץ הטלגרם שלה. עוד פרסמה Moses Staff מסמכים אישיים השייכים, ככל הנראה, לחברות ישראליות, והיא טוענת כי בידיה צילומי לוויין של ישראל באיכות גבוהה. על פי חברת Check Point, הקבוצה פרצה בעבר למצלמות ולמכשירים נוספים, אך חבריה טוענים שבפריצה הנוכחית הצליחו להקשיח את המצלמות שתיעדו את הפיגוע. פירוש הדבר הוא שבשלב זה הגישה למצלמות חסומה. שיטת הפריצה של Moses Staff מתבססת על סריקה קבועה של הרשת בישראל, במטרה לאתר רכיבים המחוברים אליה ללא הגנה. במקרה הנוכחי, נראה שהקבוצה אף השיגה גישה לשרת בו אוחסנו תיעודים של האירוע, ומיד לאחר שהורידה את הנתונים הרצויים פרמטה את השרת. ממערך הסייבר נמסר כי הוא חוקר את מקור הפריצה. על פי חברת ClearSky, פעילותה של Moses Staff משויכת לקבוצת Charming Kitten האיראנית, העומדת מאחורי קמפיין "גרזן אברהם", לו מאפיינים דומים לאלה של הקמפיין של Moses Staff.
סייבר ופרטיות - רגולציה ותקינה
הפנטגון מפרסם אסטרטגיית Zero Trust להשקעות בתחום הסייבר
ב-7 בנובמבר פרסמה מחלקת ההגנה של ארצות הברית (DoD) את מסמך ה-DoD Zero Trust Strategy, בו מוצגת אסטרטגיה המחייבת כל רכישה של מוצר או שירות מצד ה-DoD לעמוד בדרישות גבוהות ביותר של הגנת סייבר, בהתאם לתפיסת "אפס אמון". מושג זה מוגדר במסמך SP 800-207 של המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית (NIST) כ"אוסף מתפתח של פרדיגמות חדשות להגנת סייבר, המתקדמות מהגנות נייחות ומבוססות-רשת להתמקדות במשתמשים, בנכסים ובמשאבים" של הפעילות במרחב הסייבר. האסטרטגיה החדשה מורכבת מ-4 יעדים: אימוץ תרבות ארגונית של "אפס אמון" במחלקת ההגנה כולה, הגנה על מערכות הארגון בהתאם לגישה זאת, האצת אימוץ טכנולוגיות המתאימות לתפיסה זו ותמיכה בפועל ביישום תהליכי "אפס אמון" בכל פעילות המשרד. האסטרטגיה החדשה תיושם עד 2027. להלן תרשים הממחיש את רכיביה השונים של האסטרטגיה החדשה.
(מקור: DoD Zero Trust Strategy, 5.11.2022, עמ' 10)
ישראל: הרשות להגנת הפרטיות מפרסמת מדריך עזר מתודולוגי לעריכת תסקיר השפעה על הפרטיות (DPIA)
ב-23 בנובמבר פרסמה הרשות את המדריך, שמטרתו להנחות ארגונים בישראל בעריכת "תסקיר השפעה על פרטיות" (Data Privacy Impact Assessment). למרות שהדין הישראלי אינו מחייב עריכת תסקיר, הוא עשוי להתבצע באופן וולונטרי על ידי ארגונים שמעוניינים לבחון מראש תהליכים, מוצרים או שירותים חדשים שיהיו כרוכים בשימוש במידע אישי של נושאי המידע (עובדים, לקוחות, ספקים ואחרים) באופן חדש. מטרת התסקיר היא לזהות מבעוד מועד סיכונים פוטנציאליים לפרטיות, ולצמצמם במידת האפשר. במדריך מומלצים 7 שלבים בעריכת התזכיר: קבלת החלטה על ביצוע התסקיר, תיאור כללי של פעילויות עיבוד המידע החדשות, התייעצות עם בעלי עניין, הערכת החוקיות, הצורך והמידתיות של הפעולות החדשות, זיהוי והערכת סיכונים אפשריים ודרכי צמצומם, ותיקוף ואישור התסקיר. על פי דברי הסבר מאת הרשות, "התסקיר הוא תהליך גמיש […] אשר ניתן לתכננו כך שיתאים לאופי הארגון, אופי הפרויקט ותהליכי ניהול הסיכונים הנהוגים בארגון, ובלבד שיכלול את [שבעת] שלבי המפתח."
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי, תמר מדריקס וגיא פינקלשטיין.