דו״ח סייבר שבועי
עדכון שבועי 25.08.2022
עיקרי הדברים
-
ישראל: פרצת אבטחת ב״ארקיע״ אפשרה לשנות פרטים של נוסעים ולבטל את טיסתם; ישראל וארה״ב חתמו על הסכם שיתוף פעולה סייבר-פיננסי.
-
צרפת: בית החולים CHSF שמדרום לפריז חווה מתקפת כופרה ועובר לפעילות ידנית; התוקפים דורשים כופר בסך 10 מיליון דולר.
-
חברות הביטוח ב-Lloyd's לא יכסו התקפות סייבר מדינתיות. המשמעות: פוליסות ביטוח בישראל לא יכסו נזקים ממתקפות סייבר איראניות.
-
האקרים התחזו ב-Deepfake לבכיר בבורסת קריפטו ו״עקצו״ כספים מיזמים.
-
*אנו ממליצים לעדכן את המוצרים הבאים: פלטפורמת GitLab (קריטי); מצלמות Hikvision (קריטי); פלטפורמת CrowCpp (קריטי); עדכון אבטחה ל-Kernel של Linux (גבוה); דפדפן Firefox (גבוה); אפליקציית Zoom למחשבי macOS (גבוה); אפליקציית Ring של Amazon (גבוה); VMware Tools של VMware (גבוה); מערכת ניהול הלקוחות Exment (גבוה); המוצר McAfee DLP Endpoint (בינוני); גרסאות Beta של הדפדפן Google Chrome (אין ציון חומרה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה לאפליקציית Zoom למחשבי macOS נותן מענה לחולשה ברמת חומרה גבוההעדכון אבטחה לאפליקציית Ring של Amazon נותן מענה לחולשה ברמת חומרה גבוהה
עדכון אבטחה לפלטפורמת CrowCpp נותן מענה לחולשה קריטית
עדכון אבטחה ל-McAfee Data Loss Prevention Endpoint נותן מענה לחולשה ברמת חומרה בינונית
עדכון אבטחה למערכת ניהול הלקוחות Exment נותן מענה ל-3 חולשות, אחת מהן ברמת חומרה גבוהה
עדכון אבטחה ל-VMware Tools של VMware נותן מענה לחולשה ברמת חומרה גבוהה
עדכון אבטחה לדפדפן Firefox נותן מענה ל-5 חולשות, 4 מהן ברמת חומרה גבוהה
יותר מ-23,000 ארגונים ברחבי העולם חשופים לחולשה קריטית במצלמות Hikvision המנוצלת לתקיפות
עדכון אבטחה ל-GitLab נותן מענה לחולשה קריטית
עדכון לגרסאות הבטא של Google Chrome הכולל גם עדכוני אבטחה
עדכון אבטחה ל-Kernel של Linux נותן מענה לחולשה בדרגת חומרה גבוהה
התקפות ואיומים
בקרים תעשייתיים ככלי לחדירה - לא כמטרה
241 חבילות קוד זדוניות נמצאו במאגר החבילות npm ו-PyPI
קבוצת התקיפה APT-C-35/DoNot שמקורה בהודו משדרגת את יכולות התוכנה הזדונית YTY
דפי בדיקת אנושיות מזויפים באתרי WordPress הובילו להדבקת משתמשים ברוגלות טרויאניות
האקרים מנצלים חולשת Zero-day לגניבת מטבעות קריפטוגרפיים מכספומטי ביטקוין של חברת General Bytes
חבילות זדוניות שהועלו ל-PyPi גונבות מידע ממשתמשי קהילות המשחקים Discord ו-Roblox
תוקפים שולחים מיילי פישינג מחשבון PayPal שנפרץ
קמפיין ריגול חדש של קבוצת התקיפה הצפון קוריאנית Lazarus
תוקפים מנצלים למתקפות פישינג פלטפורמות פופולריות ליצירת אתרים
האקרים התחזו ב-Deepfake לבכיר בבורסת קריפטו ו״עקצו״ כספים מיזמים
קבוצת APT איראנית משתמשת בכלי חילוץ מידע חדש
נוזקה חדשה תוקפת שירותי Active Directory
משתמשי פלטפורמת PyPi מצויים על הכוונת בקמפיין פישינג חד
השבוע בכופרה
בית החולים CHSF שמדרום לפריז חווה מתקפת כופרה ועובר לפעילות ידנית; התוקפים דורשים כופר בסך 10 מיליון דולר
אתר ההדלפות של LockBit חווה מתקפת DDoS בעקבות הפריצה ל-Entrus
סייבר בעולם
Google חסמה את מתקפת ה-Layer 7 DDoS הגדולה בהיסטוריה
קבוצת התקיפה TA558 תוקפת בתי מלון וחברות נסיעות באמריקה הלטינית
ה-CISA מוסיפה שמונה חולשות ל״קטלוג החולשות הידועות המנוצלות״ שלה
קמפיין חדש של נוזקת הבנקאות הטרויאנית Grandoreiro תוקף תעשיות במדינות דוברות ספרדית
ארה״ב: הגדרות לא נכונות ב-Meta pixel חשפו מידע רפואי של 1.3 מיליון מטופלים של ספקית שירותי בריאו
סייבר בישראל
ישראל וארה״ב חתמו על הסכם שיתוף פעולה סייבר-פיננסי
באג חמור במערכות חברת ״ארקיע״ הוביל לדלף מידע רגיש של נוסעים ואפשר ביצוע שינויים בפרטי כרטיסיה
סייבר ופרטיות - רגולציה ותקינה
חברות הביטוח בשוק הביטוח Lloyd's לא יכסו התקפות סייבר מדינתיות
כנסים
הציטוט השבועי
״בית החולים לא שילם ולא ישלם סוג זה של כופר.״
ז׳יל קלמס, מנהל המרכז הרפואי CHSF ליד פריז, המתמודד עם מתקפת כופרה.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה לאפליקציית Zoom למחשבי macOS נותן מענה לחולשה ברמת חומרה
העדכון, שפורסם ב-17 באוגוסט, סוגר במוצר חולשה (CVE-2022-28757, CVSS 8.8) שמקורה ברכיב העדכון האוטומטי, ואשר עלולה לאפשר למשתמש מקומי בעל הרשאות נמוכות להשיג במערכת הרשאות Root. העדכון רלוונטי לגרסאות המוצר 5.7.3-5.11.6 (לא כולל).
צוות קונפידס ממליץ למשתמשי Zoom במחשבי macOS לעדכן את האפליקציה לגרסה 5.11.6.
עדכון אבטחה לאפליקציית Ring של Amazon נותן מענה לחולשה ברמת חומרה גבוהה
באפליקציה, המסוגלת לזהות תנועה על בסיס מצלמה, ואשר הורדה יותר מ-10 מיליון פעמים, נמצאה פירצה הרלוונטית למכשירים מבוססי Android ומאפשרת לתוקף לגשת ל-Android Manifest, האחראי על מתן ההרשאות לאפליקציה לגישה וקבלת מידע מאפליקציות אחרות. אפליקציות אלה עלולות להיות זדוניות ולנסות לשכנע את הקורבן להתקינן, כאשר לאחר התקנתן הוא מועבר לאתר זדוני בו נגנבים ממנו אישורי המשתמש, או העוגיות. בעזרת אלה ניתן להשיג מידע אישי של המשתמש, לרבות שמו המלא, מייל, מספר טלפון, מיקום, כתובת מגורים וסרטונים שמורים. זאת ועוד, באמצעות אפליקציות לניתוח סרטים, כדוגמת Google Vision ,Azure Computer Vision או Amazon Rekognition, יכול התוקף לזהות פרצופים, חפצים ואף אישי ציבור. לאחר שחברת Checkmarx הביאה דבר הפירצה לידיעת Amazon, האחרונה פעלה במהירות לסגירתה ופרסמה גרסה עדכנית יותר של האפליקציה.
צוות קונפידס ממליץ למשתמשי Ring לעדכן את המוצר לגרסתו האחרונה הן ב-Play Store והן ב-App Store.
עדכון אבטחה לפלטפורמת CrowCpp נותן מענה לחולשה קריטית
הפלטפורמה, המצויה במאגרי GitHub, משמשת מתכנתים בשפת ++C ליצירת שרתי HTTP ופרוטוקולי תקשורת בין שרת ללקוח (WebSocket). החולשה (CVE-2022-38667, CVSS 9.8) שנמצאה בפלטפורמה היא מסוג Use-After-Free ועלולה לאפשר לתוקף להריץ פקודות קוד זדוניות על מערכת הקורבן, כל זאת עקב שגיאה שמקורה באי-מחיקה של נתיב התוכנית מזיכרון המערכת, לאחר שנמחקה.
צוות קונפידס ממליץ למשתמשי CrowCpp לעדכן את המוצר לגרסתו האחרונה - Crow-v1.0+4.deb.
עדכון אבטחה ל-McAfee Data Loss Prevention Endpoint נותן מענה לחולשה ברמת חומרה בינונית
העדכון רלוונטי למערכת ההפעלה Windows וסוגר חולשה (CVE-2022-2330, CVSS 6.5) העלולה להיות מנוצלת באמצעות קובץ XML מוכן מראש המגדיר ערכים שנטענים מחוץ להגדרת המסמך (DTD), ובכך מאפשר לתוקף לקבל גישה לשירותים מקומיים של העמדה. מקור החולשה במנגנון עיבוד קובצי XML שאינו מגביל אזכורים חיצוניים, ומאפשר טעינה חיצונית של ערכים במערכת. גרסאות המוצר הפגיעות הן אלה הקודמות ל-11.6.600 ו-11.9.100.
צוות קונפידס ממליץ לבעלי המוצר לעדכנו לגרסה האחרונה.
עדכון אבטחה למערכת ניהול הלקוחות Exment נותן מענה ל-3 חולשות, אחת מהן ברמת חומרה גבוהה
להלן החולשות שנסגרו בעדכון האבטחה למערכת ניהול הלקוחות (CRM) בקוד פתוח:
CVE-2022-38080, CVSS 5.4 - ניצול החולשה עלול להוביל למתקפה מסוג Reflected cross-site scripting, הכוללת הרצת קוד שרירותי על מכונות של משתמשים הניגשים לאתר.
CVE-2022-37333, CVSS 8.8 - חולשה מסוג SQL Injection, העלולה לאפשר לתוקף לבצע בקשות אל תוך ה-Database ובקשות ישירות אל שרת ה-SQL. הבקשות עלולות להיות זדוניות, ובין היתר להוביל לדלף מידע.
CVE-2022-38089, CVSS 5.4 - ניצול החולשה עלול להוביל למתקפה מסוג Stored cross-site scripting, הכוללת הרצת קוד שרירותי על מכונות של משתמשים הניגשים לאתר.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה, על פי המתכונת הבאה:
משתמשי PHP8: עדכון ה-exceedone/exment לגרסה 5.0.3 וה-exceedone/laravel-admin לגרסה 3.0.1.
משתמשי PHP7: עדכון ה-exceedone/exment לגרסה 4.4.3 וה-exceedone/laravel-admin לגרסה 2.2.3.
עדכון אבטחה ל-VMware Tools של VMware נותן מענה לחולשה ברמת חומרה גבוהה
החולשה (CVE-2022-31676, CVSS 7.0) עלולה לאפשר לתוקף בעל גישה מקומית למערכת ההפעלה וללא הרשאות אדמין להעלות הרשאות לרמת Root במכונה וירטואלית, והיא רלוונטית למערכות ההפעלה Windows (גרסאות 11 ומעלה ו-12 ומעלה של VMware Tools) ו-Linux (גרסאות 10 ומעלה, 11 ומעלה ו-12 ומעלה של VMware Tools).
אנו ממליצים למשתמשי המוצר לעדכנו לגרסתו האחרונה ולהשתמש בו רק בגרסאות המוגדרות כבטוחות, המופיעות כאן.
עדכון אבטחה לדפדפן Firefox נותן מענה ל-5 חולשות, 4 מהן ברמת חומרה גבוהה
שתיים מן החולשות (CVE-2022-38477, CVE-2022-38478) שנסגרו בעדכון שפרסמה השבוע Mozilla עלולות לאפשר לתוקף להריץ קוד על עמדת הקצה.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה - Firefox ESR 102.2
יותר מ-23,000 ארגונים ברחבי העולם חשופים לחולשה קריטית במצלמות Hikvision המנוצלת לתקיפות
חוקרי אבטחה מחברת CYFIRMA הסינגפורית מצאו יותר מ-80,000 מצלמות מתוצרת Hikvision הפגיעות לחולשה קריטית (CVE-2021-36260, CVSS 9.8) שעלולה לאפשר הזרקת קוד זדוני על ידי שליחת הודעה מותאמת אישית לשרת Web פגיע. החולשה נוצלה בדצמבר 2021 על ידי הבוטנט Moobot, המבוסס על הבוטנט המוכר Mirai, ושימשה להפצה מאסיבית של הבוטנט ולגיוס מערכות נוספות לתשתית המשמשת לביצוע מתקפות מניעת שירות (DDoS). הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) פרסמה אזהרה בנוגע לחולשה, הכניסה אותה לקטלוג החולשות הידועות המנוצלות שלה והפצירה בארגונים המשתמשים במצלמות מתוצרת Hikvision לעדכן את מערכותיהם באופן מיידי. לדברי החוקרים, לעתים קרובות פורומי פריצה דוברי רוסית מוכרים נקודות כניסה לרשת המבוססות על מצלמות Hikvision, אותן ניתן לנצל לשימוש כבוטנט, לתנועה רוחבית ולמתקפות סייבר נגד מדינות. נוסף על סגירת החולשה המדוברת באמצעות הטמעת עדכון אבטחה, החוקרים ממליצים להגדיר סיסמאות מורכבות להתחברות למוצרי רשת ולשנות את הסיסמאות המוגדרות בהם כברירת מחדל עם רכישתם, פן ישמשו לתוקפים דלת כניסה פשוטה אל המוצרים, מהם קצרה מאוד הדרך לרשת המשתמש. למרות שעוד בספטמבר 2021 פרסמה Hikvision עדכון חומרה שסגר את החולשה, עדיין ישנם כ-23,000 ארגונים בכ-100 מדינות שלא הטמיעו אותו, וחשופים לחולשה הקריטית.
צוות קונפידס ממליץ לכלל המשתמשים במוצרי Hikvision לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה ל-GitLab נותן מענה לחולשה קריטית
העדכון שפורסם על ידי החברה סוגר במוצר חולשה (CVE-2022-2884, CVSS 9.9) העלולה לאפשר למשתמש להריץ קוד מרחוק, ואשר מקורה בתקלה במנגנון הייבוא של הפלטפורמה מ-GitHub. החולשה רלוונטית לגרסאות 11.3.4 עד 15.1.5, 15.2 עד 15.2.3 ו-15.3 עד 15.3.1 של המוצר.
צוות קונפידס ממליץ למשתמשי הגרסאות הרלוונטיות של GitLab לעדכן את המוצר בהקדם האפשרי. במידה ולא מתאפשר לעשות זאת באופן מיידי, יש לעיין ב-Workarounds המופיעים בפרסום האבטחה ולפעול בהתאם להם.
עדכון לגרסאות הבטא של Google Chrome הכולל גם עדכוני אבטחה
העדכונים שפרסמה Google רלוונטיים ל-Google Chrome Desktop ,Chrome OS ו-Google Chrome Android, כאשר העדכונים לגרסת ה-Dev של Chrome OS כוללים גם עדכוני אבטחה. לא פורסמו פרטים נוספים על העדכונים.
צוות קונפידס ממליץ למשתמשי גרסאות הבטא של המוצרים להטמיע במערכותיהם את העדכונים שפורסמו.
עדכון אבטחה ל-Kernel של Linux נותן מענה לחולשה בדרגת חומרה גבוהה
החולשה (CVE-2022-2959, CVSS 7.8), שהינה מסוג Race Condition, התגלתה בליבת מערכת ההפעלה ועלולה לאפשר לתוקף להעלות הרשאות על ידי שליחת בקשה שהוכנה מראש בעלת מבנה מיוחד לשם הרצת קוד בהרשאות המערכת. מקור החולשה בפגם במנגנון ה״נעילה״ של פונקציה שמשמשת את המערכת לשינוי גודל הזיכרון הדינאמי (Buffer) עבור תהליך. הדבר גורם לפונקציה לשנות את מיקום הזיכרון המוקצה לתהליך ולשחרר את הזיכרון בו נעשה שימוש עבור גורמים אחרים, שעלולים להיות זדוניים.
צוות קונפידס ממליץ למשתמש Linux לעדכן את מערכת ההפעלה לגרסתה האחרונה.
התקפות ואיומים
בקרים תעשייתיים ככלי לחדירה - לא כמטרה
צוות המחקר Team82 של Claroty פיתח מתקפה המשתמשת בבקרים תעשייתיים לניצול עמדות בקרה ושליטה ולאחיזה ראשונית ברשתותיהן. המתקפה מכוונת נגד מהנדסים שעובדים באופן יומיומי עם בקרים תעשייתיים להבטחת אמינות ובטיחות תהליכי עבודה, בעיקר בחברות חשמל ומים ובתחומי הייצור הכבד, הפיתוח, האוטומציה ועוד.
המחקר שפרסם ה-Team82 כולל הוכחת היתכנות של המתקפה בקרב 7 חברות מובילות בתחום האוטומציה: Rockwell Automation ,Schneider Electric ,GE ,B&R ,Xinje ,OVARRO ו-Emerson. רשתות מסוג Operation Technology, או OT, מכילות עשרות בקרים תעשייתיים, המפקחים על תהליכים תעשייתיים. כאשר תוקף מבקש להשפיע פיזית על תהליך תעשייתי מסוים, יהיה עליו לחקור וללמוד לעומק את כלי השליטה ולמצוא את הכלי המדויק האחראי על התהליך בו ברצונו לפגוע. הטכניקה בה נקטו חברי Team82 התבססה על פיתוי מהנדסים להתחבר אל בקר תעשייתי על ידי יצירת תקלה מדומה ושימוש בחולשות שנמצאו מראש, כל זאת לשם הזרקת קוד לעמדה המשמשת את המהנדס להתחברות לבקר לצורך איתור תקלות ותפעול המערכת. למשל, באחת המערכות הצליחו החוקרים למצוא אפשרות להרצת קוד שרירותי על העמדה באמצעות חולשה בתהליך העלאת הקבצים אל הבקר. בכך, במקום שהבקר יהווה את מטרת התקיפה, התוקפים הפכו אותו לכלי לניצול עמדות המהנדסים, שלרוב הן בעלות גישה לשאר הבקרים ומאפשרות צפייה ולמידה מקיפות וקלות יותר של כל המערכות מסוג זה ברשת הארגונית. אחת המתקפות הידועות ביותר על בקר תעשייתי היתה מתקפת ה-Stuxnet על צנטריפוגות הכור הגרעיני באיראן, שיוחסה לישראל ולארצות הברית, וכללה השתלטות על בקר תעשייתי שהיה אחראי על שליטה ובקרה של פעילות הצנטריפוגות. במהלך התקיפה שונתה באמצעות נוזקה מהירות הצנטריפוגות, בעוד שמערכת הבקרה והשליטה הציגה מהירויות תקינות.
241 חבילות קוד זדוניות נמצאו במאגר החבילות npm ו-PyPI
חוקרים מחברת Sonatype גילו 186 חבילות קוד זדוניות במאגר החבילות npm, המיועדות עבור מערכת ההפעלה Linux. החבילות מתקינות כורה מטבעות קריפטוגרפיים באמצעות הורדת סקריפט הכתוב בשפת Bash משרת התוקפים, דרך קישור מקוצר מסוג bit.ly. בחקירת החבילות התגלה שחלקן התחזו לחבילת הקוד הנפוצה http-errors, המשמשת כספריית JavaScript, ואשר מורדת יותר מ-50 מיליון פעם בשבוע. החוקרים פרסמו קובץ המכיל את שמותיהן של 186 החבילות הזדוניות וחשפו את שם המשתמש שהעלה אותן למאגר, 17b4a931. גם לחבילות זדוניות אחרות ניתנו שמות הדומים לחבילות מקור נפוצות, על מנת לבלבל את המשתמשים, ובחקירה מעמיקה של תוכנן נמצא שהן אכן מכילות את תוכן החבילות המקוריות, לרבות קובצי ההסבר (README) המקוריים, כדי לשוות לעצמן חזות אמינה. ואולם, לאחר מספר שורות קוד לגיטימיות מתגלה הפעילות הזדונית, המושכת את הסקריפט משרת התוקפים ומריצה אותו במצב ״שקט״, כך שלא יהיה ניתן לזהות את תהליך התקנת הכורה על העמדה. כמו כן, נמצאו עדויות להערות שנכתבו בסקריפט על ידי התוקפים, המאשרות שהקוד נכתב עבור מערכות Linux בלבד.
תגליותיה של Sonatype מתווספות לתגליתו של החוקר האוקה ליברס, שחשף 55 חבילות קוד זדוניות במאגר PyPI, הפועלות בצורה זהה על מנת להתקין כורה מטבעות קריפטוגרפיים, לאחר שהורדו דרך אותו שרת. הדבר התגלה לאחר שנחשפו במאגר 33 חבילות, שלאחר הסרתן ממנו הועלו אליו 22 חבילות קוד זדוניות נוספות עבור מפתחים בשפת Python. על סמך הראיות שעלו מהמחקרים, ניתן להסיק כי כל החבילות פורסמו על ידי גורמים זדוניים בקמפיין שמטרתו לפרוס כורי קריפטו.
צוות קונפידס ממליץ להוריד חבילות רק ממפיציהן המקוריים.
קבוצת התקיפה APT-C-35/DoNot שמקורה בהודו משדרגת את יכולות התוכנה הזדונית YTY
הקבוצה, המכונה גם APT-C-35, החלה את פעילותה ב-2016, לכל המאוחר, ומתמקדת בגופים ממשלתיים וצבאיים, בשגרירויות ובמשרדי חוץ של מדינות בדרום אסיה, כגון הודו, פקיסטן, סרי לנקה ובנגלדש. בדוח טכני שפרסמה חברת האבטחה Morphisec Labs מפורטים חידושים ברוגלת (YTY (Jaca, המיועדת למערכות מבוססות Windows, בהם רכיב שביכולתו לגנוב מהדפדפנים Chrome ו-Firefox מידע כמו אישורי כניסה והיסטוריית גלישה.
בשלב הראשון, הקבוצה משתמשת ב-Spear Phishing (פישינג ממוקד) המכיל צרופת RTF, שבעת פתיחתו נשלחת בקשת HTTP GET לשרת C2 מרוחק של התוקפים. אם עולה שקיים על העמדה MSOffice, מנוצלת חולשה ב-Equation Editor להזרקת קובץ מאקרו זדוני. כאשר ה-Remote template מוזרק, הוא מפתה את הקורבן לאפשר מצב עריכה כדי להתיר לפקודות המאקרו הזדוניות לפעול, מה שמאפשר הזרקת Shellcode לזיכרון של התהליך במחשב, ובהמשך מוריד Shellcode נוסף משרת ה-C2.
בשלב השני מורדים ומופעלים המודולים שישמשו לגניבת המידע של הקורבן, ומוגדרת משימה מתוזמנת על מנת לבסס את אחיזת הנוזקה בעמדה. כדי להבין באילו מודולים יהיה שימוש, התוכנה מתקשרת עם שרת C2 אחר. המודולים האמורים מגדילים את פונקציונליות התוכנה הזדונית ומאפשרים לה לאסוף מידע מגוון מאוד על הקורבן, כמו הקלדות, צילומי מסך, קבצים ומידע המאוחסן בדפדפנים. פונקציונליות נוספת היא מודול ה-Reverse shell, המאפשר לשחקן זדוני לגשת מרחוק לעמדה פגיעה.
צוות קונפידס ממליץ לגלות ערנות למיילים חשודים ולא ללחוץ על קישורים או לפתוח מסמכים ממקורות שאינם מוכרים או שאינם צפויים. הדוח המלא של Morphisec Labs, לרבות IOCs שאותם מומלץ להזין במערכות ההגנה של הארגון, מצוי כאן.
דפי בדיקת אנושיות מזויפים באתרי WordPress הובילו להדבקת משתמשים ברוגלות טרויאניות
בדוח של חברת אבטחת האתרים Sucuri, שותפתה של חברת הדומיינים ואחסון האתרים GoDaddy, נחשף כי תוקפים הדביקו מחשבים של קורבנות ברוגלות טרויאניות (RAT, או Remote Access Trojan) על ידי הדבקת אתרי WordPress. לאחר הפריצה לאתרים, התוקפים החדירו קוד JavaScript זדוני המציג למבקרי האתר הודעה שתפקידה לחקות ״בדיקת אנושיות״ נגד בוטים ומתקפות מניעת שירות (DDoS). בעת לחיצה על ההודעה, האתר שולח אל הקורבן קובץ ISO להורדה, שמתיימר להיות אפליקציית ההגנה DDoS-Guard, ומפתה אותו לפתוח את הקובץ באמצעות בקשה להקשת קוד אימות המוצג לו בעת פתיחת ה״אפליקציה״ (הקוד אכן מוצג, על מנת לשוות לבקשה אמינות). ג׳רום סגורה, חוקר בחברת MalwareBytes, סייע להבנה שה-RAT מריץ פקודות PowerShell זדוניות, מתקין את רוגלת Raccoon Stealer ומוריד למחשב הקורבן שני RATs נוספים, המאפשרים לתוקף לעשות במחשב הקורבן כרצונם.
צוות קונפידס ממליץ להתגונן מפני פריצה לאתרים באמצעות עדכון תכוף של התוכנות והחומרות של אתרים בענן, שימוש בסיסמאות מורכבות ובמנגוני אימות רב-שלביים (MFA) בעת כניסה לאיזור הניהול שלו ושימוש בשירותי Firewall לאתרים ושירותי אינטרנט. לגולשים באתרים מומלץ להתקין על המחשבים האישיים תוכנת אנטי-וירוס/EDR, לוודא כי מנגנוני האימות הדו-שלביים (2FA) מופעלים בכלל החשבונות והשירותים החשובים ולהקפיד לעדכן תוכנות המותקנות על המחשב. למידע נוסף חייגו 8272*.
האקרים מנצלים חולשת Zero-day לגניבת מטבעות קריפטוגרפיים מכספומטי ביטקוין של חברת General Bytes
General Bytes הינה יצרנית של כספומטי ביטקוין המאפשרים רכישה ומכירה של יותר מ-40 מטבעות קריפטו שונים. הכספומטים נשלטים על ידי CAS) Crypto Application Server) שמנהל את תפעולם ומבצע את פעולות הרכישה והמכירה של המטבעות בבורסות המסחר. על פי מידע שפרסמה General Bytes, המתקפות התבססו על ניצול חולשת Zero-day בממשק האדמין של שרת ה-CAS, כאשר התוקף הצליח ליצור לעצמו מרחוק משתמש אדמין בממשק, על ידי הפניית URL לעמוד המשמש להתקנת ברירת המחדל על השרת. General Bytes סבורה שהגורם הזדוני מבצע את פעולותיו באמצעות סריקת שרתי TCP החשופים לאינטרנט בפורטים 7777 או 443, שהינם פורטי ברירת המחדל עבור שרתי CAS, ולאחר מכן ניצול החולשה והוספת האדמין ״gb" למערכת. אדמין זה משנה את פקודות המכירה והקנייה ואת ״כתובת אמצעי התשלום״ לכתובתו של ארנק הנמצא בשליטת התוקף. עם שינוי הפקודות, בכל פעם בה תבוצע מכירה או קנייה, מטבעות הקריפטו יועברו ישירות אל התוקף. חברת General Bytes מדגישה שאין להשתמש בכספומטים עד להטמעת עדכון האבטחה שפרסמה על ידי מפעילי הכספומטים (20220531.38, 20220725.22), ושחררה רשימת בדיקות לביצוע על כספומטים לפני חידוש השימוש בהם. בתוך כך, יש לציין שהכספומטים לא היו פגיעים אם ה-Firewall בשרתים היה מוגדר כך שלא יאפשר חיבור מכתובת IP שאינה מוכרת. בשלב זה לא ברור כמה שרתים נפרצו בשיטה זו ומהו היקף גניבת המטבעות.
צוות קונפידס ממליץ למפעילי הכספומטים לעדכן את השרתים לגרסאות שפורסמו על ידי General Bytes, לבצע את הבדיקות המומלצות על ידי החברה ולשנות את הגדרות השרת על פי המלצתה.
חבילות זדוניות שהועלו ל-PyPi גונבות מידע ממשתמשי קהילות המשחקים Discord ו-Roblox
ממחקר של חברת אבטחת המידע Snyk עולה ש-12 חבילות זדוניות הועלו ב-1 באוגוסט למאגר חבילות הקוד הפתוח (Python Package Index (PyPi על ידי משתמש המכונה scarycoder. החבילות אינן משתמשות בשיטות הטעיה נפוצות, כמו שגיאת כתיב בניסיון להתחזות לספרייה לגיטימית, אלא מוצגות בשמות משלהן ומבטיחות תכונות שונות ומתקדמות, כדי לפתות מפתחים להשתמש בהן. החבילות שהועלו מתחזות לכלי מפלטפורמת המשחקים ,Roblox או לחלופין לחבילות המכילות מודולים של האקינג בסיסי או לכלי לניהול שרשורים, אך בפועל מתקינות נוזקות הגונבות סיסמאות מממכשיריהם של מפתחים המשתמשים בהן.
בניתוח של אחת החבילות, cyphers, מראים החוקרים כיצד הקוד הזדוני המוסתר בקובץ setup.py משמש להתקנת שני קובצי הפעלה של נוזקות, ZYXMN.exe ו-ZYRBX.exe, משרת Discord CDN. הקובץ הבינארי הראשון, ZYXMN.exe, משמש לגניבת מידע מדפדפנים כמו Google Chrome ,Chromium ,Microsoft Edge ,Firefox ו-Opera על ידי פענוח המפתח הראשי למסד הנתונים המקומי של הדפדפן האינטרנט. הדבר מאפשר אחזור נתוני טקסט של היסטוריית החיפושים של הקורבן, היסטוריית גלישה, קובצי עוגיות, סימניות, סיסמאות מאוחסנות וכרטיסי אשראי מאוחסנים. המידע נשלח אל התוקפים באמצעות חיבור האינטרנט של (Discord (Discord webhook. מלבד זאת, הקובץ הבינארי משנה קובץ JavaScript המכונה index.js שנמצא בתיקייה discord_desktop_core ומוסיף לו את הסקריפט הזדוני של Discord-Injection, שעם הפעלת Discord מחדש יבצע גניבה של מפתחות אימות, של סטטוס ה-Nitro של חשבון ה-Discord ושל פרטי חיוב וכרטיסי אשראי.
הקובץ הבינארי השני, ZYRBX.exe, מתרכז בפלטפורמת ה-Roblox בלבד ומנסה לגנוב את קובצי העוגיות של החשבון, את מזהה המשתמש, את יתרת ה-Robux ואת מצב ה-Premium בחשבון, ולהעבירם ל-Discord webhook.
למרות שנכון לכתיבת שורות אלה החבילות הזדוניות הוסרו מהמאגר, תגובתה של החברה היתה איטית באופן יחסי. את רשימת החבילות הזדוניות המלאה ניתן למצוא כאן.
תוקפים שולחים מיילי פישינג מחשבון PayPal שנפרץ
על פי ידיעה שפורסמה בבלוג אבטחת המידע Krebs on Security, תוקפים הצליחו לשים את ידיהם על חשבונות עסקיים של חברת PayPal ולפתות באמצעותם קורבנות לספק להם גישה למחשביהם האישיים. במקרה שהובא לידיעת האתר, הקורבן קיבל מייל שהגיע מכתובת לגיטימית לחלוטין של PayPal והוביל לכתובות URL לגיטימיות של החברה. במייל נטען כי חשבונו של הקורבן נפרץ, כי בוצעה באמצעותו רכישה בסכום של 600 דולר וכי ניתן להתקשר למרכז תמיכה על מנת לקבל שירות במידה ולא ביצע את הרכישה. משיצר הקורבן קשר עם ״מרכז התמיכה״, הוא התבקש לגשת לאתר חשוד (אשר כעת כבר אינו משויך לכתובת PayPal לגיטימית) ולהוריד ממנו תוכנה לשליטה מרחוק בעמדות. מ-PayPal נמסר כי החברה מודעת לקמפיין הפישינג האמור וביצעה פעולות למיגור התרמית. עוד המליצה החברה ללקוחותיה ליצור קשר עם שירות הלקוחות שלה במידה והם חושדים בתרמית. טרם התברר אם כתובות המייל בהן השתמשו התוקפים עדיין נמצאות בשליטתם או אם עודן פעילות. ניתן להתגונן מפני מתקפות מסוג זה על ידי בדיקה עצמאית באתר או באפליקציה הרשמיים של הפלטפורמה או השירות אם בוצעה הרכישה המתוארת במייל.
קמפיין ריגול חדש של קבוצת התקיפה הצפון קוריאנית Lazarus
חוקרי חברת ESET חשפו בשרשור בטוויטר קמפיין ריגול חדש של קבוצות התקיפה Lazarus, שהשתמשה במסמך מזויף המחקה מודעת דרושים של חברת Coinbase, הפונה למהנדסים. הקמפיין, המכונה In(ter)ception, מתבסס על רוגלה החתומה ומקומפלת כקובץ הפעלה, ואשר בעת הרצתה מורידה 3 קבצים: קובץ PDF בשם Coinbase_online_careers, המיועד להטעיית הקורבן, ושני קבצי הפעלה בשם FinderFontsUpdater, שנועדו להפעיל קובץ אחר, safarifontagent, האחראי על הצעד הבא בפעילות הרוגלה. כל הקבצים נועדו למערכת ההפעלה macOS ופועלים על מעבדי M1 ו-Intel. זאת ועוד, לרוגלה יש גם גרסת Windows שהופעלה במסגרת הקמפיין In(ter)ception, כפי שזוהה באוגוסט על ידי חוקר המכונה Jazi. הקמפיין הנוכחי דומה לקמפיין אחר של אותה קבוצת תקיפה, שנחשף על ידי ESET בחודש מאי והתבסס גם הוא על פיתוי מהנדסים באמצעות קובץ PDF.
צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את ה-IOCs המצויים בשרשור הציוצים של ESET, ולגלות ערנות למיילים וקישורים חשודים.
תוקפים מנצלים למתקפות פישינג פלטפורמות פופולריות ליצירת אתרים
בדוח של Unit 42, חטיבת המחקר של Palo Alto Networks, נחשף כי תוקפים החלו לאמץ שיטה של יצירת דפי פישינג באמצעות השירותים והפלטפורמות המוכרות, כאשר לדברי החוקרים בין יוני 2021 ליוני 2022 נרשמה עלייה של 1,110% במספר אתרי הפישינג שהתגלו, אשר ״יושבים״ על פלטפורמות SaaS לגיטימיות. הסיבה לפופולריות של השיטה בקרב תוקפים הינה הקושי לגלות את האתרים הללו באמצעות מערכות ניטור והגנה, משום שהם מאוחסנים תחת כתובות URL השייכות לפלטפורמות לגיטימיות ומוכרות, ובכך מוליכים שולל הן מערכות הגנה והן קורבנות אנושיים. זאת ועוד, עקב הקלות שביצירת אתר בפלטפורמות הללו ללא כל הכרות עם קוד, בעזרת אופציות העיצוב הרבות והמתקדמות שהן מציעות, עמודי הפישינג שנוצרים באמצעותם מתהדרים בחזות איכותית. באחד מהמקרים המוצגים בדוח מופיע דף המיועד לגניבת פרטי התחברות, ובו לוגו של חברת שירות מוכרת מאוד, אותו הטמיעו התוקפים לשם חיזוק אמינותו, כביכול. דבר נוסף שמקשה על מערכות זיהוי איומים אוטומטיות לגלות את המתקפה הוא העובדה שבאמצעות אותן פלטפורמות ניתן ליצור טפסים אינטראקטיביים, הכוללים שדה להזנת סיסמה רק לאחר הזנת כתובת המייל. כיום, העובדה שאתר או עמוד מצויים בפלטפורמה מוכרת כבר אינה יכולה להעיד על הלגיטימיות שלו, ויש לנקוט משנה זהירות בעת הקלדת פרטים אישיים או רגישים ברשת. עוד ניתן לאמץ כניסה ידנית לאתר או לפלטפורמה של השירות המבוקש ולהזין את בו פרטים באופן ידני.
האקרים התחזו ב-Deepfake לבכיר בבורסת קריפטו ו״עקצו״ כספים מיזמים
פטריק הילמן, קצין תקשורת ראשי ב-Binance, בורסת המטבעות הקריפטוגרפיים הגדולה בעולם, טוען בפוסט בבלוג שבבעולותו כי קבוצה של האקרים מתוחכמים השתמשה בצילומי וידיאו שלו ובהופעות טלוויזיוניות שערך על מנת להתחזות אליו באמצעות טכנולוגיית Deepfake, ובכך להערים על קורבנות לקיים עמו פגישות, כביכול. לטענתו, הזיוף היה מוצלח דיו על מנת להפיל בפח כמה מחברי קהילת הקריפטו, אך לדבריו התוקפים לא לקחו בחשבון את 15 הקילוגרמים שהוסיף למשקלו במהלך תקופת הקורונה. להוכחת טענתו צירף הילמן צילום מסך של שיחה עם אדם אנונימי שטען כי תקשר איתו ב-Zoom, בעוד שלדברי הילמן מדובר בהתחזות באמצעות הולוגרמה. על פי אתר החדשות The Verge, עד היום הוכח שימוש ב-Deepfake בתצורת שמע על מנת להתחזות לאנשים בטלפון, והוכחו התחזויות מבוססות Deepfake בסרטונים ששותפו במדיה החברתית לצורך הונאות. ואולם, חרף קיומו של דיון נרחב בנושא השימוש ב-Deepfake להתחזות לאנשים בשיחות וידאו, טרם נצפו מקרים בהם אושר הדבר בוודאות, ולא ברור אם כיום הטכנולוגיה בצורתה הנגישה ביותר מתוחכמת מספיק לשם התחזות בשיחה חיה. לדברי הילמן, קו ההגנה הראשון נגד הונאות הוא המשתמש עצמו, והוא ממליץ לחברי קהילת הקריפטו לגלות ערנות ולנקוט צעדים על מנת לוודא שלא ייפלו להן קורבן. בין היתר ממליץ הילמן להשתמש בכלי Binance Verify על מנת לבדוק אם חשבונות המבצעים פנייה מייצגים את Binance באופן רשמי, ולדווח לצוות התמיכה של Binance על כל פעילות או חשבונות חשודים.
קבוצת APT איראנית משתמשת בכלי חילוץ מידע חדש
בפרסום חדש של ה-TAG, צוות ניתוח האיומים של Google, נחשף HYPERSCRAPE, כלי לביצוע דלף מידע הנמצא בשימוש הקבוצה, ואשר זוהה בדצמבר האחרון, כששימש לגניבת מידע מחשבונות Gmail ,Yahoo ו-Microsoft Outlook. לאחר השגת פרטי הזדהות של משתמשים באמצעות מתווי תקיפה שונים, התוקף מריץ על עמדה משלו את הכלי, מתחבר אל המשתמשים אוטומטית ומעתיק את כל התוכן של תיבת המייל שלהם אל העמדה המקומית. ה-TAG זיהה שימוש בכלי נגד פחות מעשרים משתמשים, כולם מאיראן, כאשר הדגימה הראשונה שלו נצפתה ב-2020. בתוך כך, ה-TAG נקט בפעולות לאבטחת החשבונות בהם זוהתה פעילות הכלי, שעדיין נמצא בפיתוח פעיל. הכלי כתוב בשפת NET., המיועדת למערכות הפעלה מסוג Windows, ובעת הרצתו הוא מבצע בקשת HTTP GET אל שרת C2 בשליטת התוקף ומחכה ל-HTTP Response המכיל את הערך "OK" בגוף ה-Response. בגרסאותיו המתקדמות יותר נראה שהכלי החל להשתמש בערך מקודד ב-Base64, ובעת הרצתו בממשק ה-CLI הוא יודע לקבל מספר ערכים השולטים בתצורת הפעולה שלו, בהם מצב הפעלה, מחרוזת זיהוי ונתיב אל קובץ עוגייה של Session. לאחר ההרצה, קובץ העוגייה מוזרם אל תוך זיכרון מוטמן מקומי הנמצא בשימוש הדפדפן, נוצרת תיקייה חדשה בשם Downloads והדפדפן מנווט אל שירות המייל המסומן ומתחיל לאסוף מידע אל תוך התיקייה שנוצרה. HYPERSCRAPE מתחבר אל תיבת המייל, פותח מיילים ומוריד אותם, כאשר במידה ומייל מסומן כ״לא נקרא״, הכלי שב ומסמן אותו כך לאחר פתיחתו. עם סיום הורדת כל המידע ממשתמשי הקורבנות, מתבצעת בקשת POST אל שרת ה-C2, המסכמת את הפעולות שנעשו. זאת ועוד, הכלי מוחק בצורה אוטומטית את כל המיילים שהתקבלו מ-Google על פעילות התוקף בחשבון הקורבן. בבלוג של ה-TAG ניתן למצוא ניתוח טכני מלא של HYPERSCRAPE.
נוזקה חדשה תוקפת שירותי Active Directory
ממחקר שפרסמה חברת אבטחת המידע Cybereason עולה כי קבוצות שונות משתמשות בכלי התקיפה החדש Bumblebee Loader, אשר נזכר לראשונה בחודש מרץ בדוח של צוות המחקר של Google. הכלי, שככל הנראה שימש גם את קבוצת התקיפה הרוסית Conti, הינו מסוג Post-exploitation, כלומר הוא אינו משמש לגישה ראשונית לרשת הנתקפת אלא להרחבת יכולות השליטה בה (השגת הרשאות חזקות וגניבת זהויות) והתנועה רוחבית בתוכה. מתווה התקיפה מתחיל בשליחת מייל פישינג עם צרופה או קישור להורדת קובץ ארכיון (למשל ZIP) המכיל קובץ ISO, שמפעיל את הנוזקה. במחקר מפורטת שיטת התקיפה מרגע השגת הגישה אל הרשת ועד לתקיפת משאבי ה-Active Directory והניסיון להוציא מהרשת מידע. נקודות המפתח בציר התקיפה הינן החדרת הקובץ הזדוני למחשב תוך מתקפת פישינג להשגת גישה ראשונית לארגון, מיפוי הרשת הנתקפת באמצעות הנוזקה (Reconnaissance), החדרת כלי שליטה חזק (C&C) עם הרשאות גבוהות, גניבת זהויות נוספות ברשת וחדירה לנכסים נוספים. ציר התקיפה מסתיים בגניבת מידע מהרשת הנתקפת (Data Exfiltration). על פי הדוח של Cybereason, נראה שציר הזמן אורך כ-3 ימים מרגע השגת הגישה הראשונית ועד לסיום התקיפה, עם הוצאת המידע מהרשת.
צוות קונפידנס ממליץ להזין את מזהי התקיפה (IOCs) במערכות ההגנה של ארגונים ולאסור על קבלת צרופות מסוג ZIP או RAR בפלטפורמת המייל.
משתמשי פלטפורמת PyPi מצויים על הכוונת בקמפיין פישינג חדש
בהמשך לדיווחים קודמים על חבילות Python מתחזות בפלטפורמת PyPi (ראו ״הסייבר״ 5.8.21), השבוע צייצה החברה בחשבון הטוויטר הרשמי של הפלטפורמה כי קמפיין פישינג רוחבי מכוון נגד משתמשים רבים במערכת, תוך ניסיון לשטות בהם להזין פרטי כניסה אליה על מנת לגנוב אותם. מדוח טכני שפרסמה חברת אבטחת המידע Checkmarx עולה כי ישנו מתאם (קורלציה) בין קמפייני הפישינג לבין החבילות הזדוניות עליהן דווח כי התווספו לאחרונה לפלטפורמה והוסרו ממנה, כאשר המכנה המשותף לשני הקמפיינים הוא דומיין זדוני אליו מתבצעת התקשרות מצד הקורבן במטרה להוריד קובץ זדוני לתחנה הנתקפת. נכון לכתיבת שורות אלה, 15 תוכנות אבטחה מזהות את הקובץ כזדוני ב-VirusTotal.
השבוע בכופרה
ב-21 באוגוסט בשעה 1:00 לפנות בוקר, אחד מבתי החולים הגדולים במחוז איל-דה-פרונס, השוכן בקורביי-אסון שבקרבת פריז, גילה כי הוא מצוי תחת מתקפת כופרה. כתוצאה מהמתקפה נפגעו מערכות ה-IT של המוסד, המכיל יותר מ-1,000 מיטות חולים (לצורך השוואה, במרכז הרפואי ״איכילוב״ יש 1,080 מיטות אשפוז), אך ככל הנראה ללא פגיעה בציוד הרפואי (OT). עד כה ידוע כי בית החולים עבר למצב חירום ואין לו גישה למערכות ה-IT, לרבות לתיקים הרפואיים של מטופליו. אי לכך, הטיפול הרפואי וקליטת מטופלים עברו למתכונת ידנית, חדרי המיון פועלים במתכונת מצומצמת, חולים הזקוקים לטיפול דחוף או שהטיפול בהם מצריך גישה לתיק הרפואי שלהם מועברים לבתי חולים ציבוריים אחרים, אין גישה למערכות אחסון מידה, ובפרט לאלה הקשורות למערכות הדמיה (CT, רנטגן, MRI ועוד), וחלק מהניתוחים האלקטיביים נדחו. ב-24 באוגוסט, כשלושה ימים לאחר התקיפה, פרסם בית החולים בקשה שלא להגיע באופן עצמאי לחדר המיון שלו. במקביל, המוסד הזעיק צוותים לניהול המשבר, בהם סוכנות הבריאות האזורית, הסוכנות הלאומית הצרפתית לביטחון מערכות מידע (ANSSI) והמרכז להגנת סייבר C3N של הז׳נדרמריה, שקיבל את האחריות על החקירה. בעוד שהתוקפים מאיימים שאם לא ישולם להם הכופר הנדרש הם יפרסמו מידע ממערכות המוסד, בצרפת חל על גופים ציבוריים איסור לשלם כופר, דבר המעמיד את הבית חולים בדילמה קשה. למרות שטרם התבררה זהותה של קבוצת התקיפה, ישנן הערכות שמדובר ב-LockBit 3.0, כך לדברי כתב הסייבר הצרפתי ולרי רייס-מארשיב. עיתוי המתקפה גרוע במיוחד עבור הצרפתים, שרבים מהם שוהים כעת בחופשתם השנתית. עובדה זו תקשה, ככל הנראה, על שיקום מערכות בית החולים.
אתר ההדלפות של LockBit חווה מתקפת DDoS בעקבות הפריצה ל-Entrust
בשבוע שעבר נטלה קבוצת התקיפה LockBit אחריות על הפריצה לאתר הבית של חברת אבטחת המידע, וב-19 באוגוסט החלה להדיף את המידע שגנבה מרשתותיה. ואולם, זמן קצר לאחר פרסום הקבצים הבחינו חוקרי אבטחת מידע שאתר ההדלפות של LockBit אינו זמין ברשת ה-Tor. ב-22 באוגוסט צוות של חוקרי אבטחת מידע מ-vx-underground יצר קשר עם נציג קבוצת התקיפה ולמד ממנו כי אתר הקבוצה חווה מתקפת מניעת שירות (DDoS) שלדבריו קשורה לפריצה ל-Entrust. בתגובה לשאלה מדוע הוא חושב כך, סיפק הנציג תמונה של לוגים המראים כי במהלך המתקפה נשלח מספר רב של בקשות HTTP שהכילו את התוכן "DELETE_ENTRUSTCOM_MOTHERFUCKERS". עוד ציין הנציג כי המתקפה החלה מיד לאחר הדלפת המידע באתר ותחילת המשא ומתן עם החברה שנפרצה.
סייבר בעולם
Google חסמה את מתקפת ה-Layer 7 DDoS הגדולה בהיסטוריה
חטיבת הענן של החברה דיווחה כי חסמה את מתקפת מניעת השירות (DDoS) ב-HTTPS הגדולה ביותר שנרשמה עד כה, אשר כללה שיא של 46 מיליון בקשות לשנייה (rps). המתקפה, שהתרחשה ב-1 ביוני ונמשכה 69 דקות, כוונה נגד לקוח של Google Cloud Armor, שהצליח לזהות ולחסום אותה, ובוצעה מ-5,256 כתובות IP שמקורן ב-132 מדינות, כאשר ברזיל, הודו, רוסיה ואינדונזיה לבדן היו אחראיות ל-31% מכלל הבקשות שנשלחו באירוע. מתקפה זו היתה גדולה ב-76% ממתקפת ה-DDoS שנחסמה על ידי Cloudflare מוקדם יותר השנה, וכללה 26 מיליון rps. לדברי Google, סוגי השירותים והתפוצה הגיאוגרפית ששימשו במתקפה תואמים את המתקפות המבוצעות בשיטת Mēris, העושות "שימוש לרעה בפרוקסי שאינם מאובטחים כדי לטשטש את מקורן האמיתי של ההתקפות". Mēris, כזכור, עמדה מאחורי תקיפת ה-DDoS הגדולה שכוונה נגד ענקית האינטרנט הרוסית Yandex בספטמבר 2021, מתקפה שבזמנו נחשבה למתקפת מניעת השירות הגדולה ביותר בהיסטוריה, עם 21.8 מיליון (ראו ״הסייבר״, 15.9.21).
קבוצת התקיפה TA558 תוקפת בתי מלון וחברות נסיעות באמריקה הלטינית
דוח חדש של חברת האבטחה Proofpoint, אשר עוד מאפריל 2018 עוקבת אחר הקבוצה, שפועלת ממניע כלכלי, חושף כי השתמשה בטקטיקות קבועות בניסיון להתקין נוזקות במערכות הקורבנות, בהן Loda RAT, Vjw0rm ו-Revenge RAT. עוד נכתב כי מתחילת 2022 הקבוצה פועלת בקצב גבוה מהרגיל ותוקפת דוברי פורטוגזית וספרדית באמריקה הלטינית. שיטת הפעולה העיקרית של TA558 הינה קמפיינים של פישינג המדמים הזמנות לבתי מלון באמצעות הודעות המכילות מסמכים זדוניים, כל זאת על מנת לנסות ולגרום למשתמשים להתקין כלי תקיפה שונים, בהם סוסים טרויאנים המסוגלים לאסוף נתונים של חברות ולקוחותיהן, לרבות פרטי כרטיסי אשראי. בחודשים האחרונים, נראה שהקבוצה זונחת את הקבצים המכילים פקודות מאקרו של Microsoft Office לטובת כתובות URL וקובצי ISO, שבאמצעותם היא משיגה את הזיהום הראשוני במערכת הנתקפת. ככל הנראה, המהלך מגיע בתגובה להחלטתה של מיקרוסופט לחסום הרצת פקודות מאקרו כברירת מחדל בקבצים שהורדו מהאינטרנט.
ה-CISA מוסיפה שמונה חולשות ל״קטלוג החולשות הידועות המנוצלות״ שלה
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה את החולשות לקטלוג שהיא מתחזקת בהתבסס על עדויות לניצולן האקטיבי על ידי תוקפים. החולשות מצויות במוצרים של Apple, מיקרוסופט, Palo Alto ,Google ו-SAP, והן עלולות לאפשר לתוקף שינצל אותן בהצלחה להריץ קוד מרחוק (RCE), לבצע מתקפות מניעת שירות (DDoS), להעלות הרשאות ולזייף בקשות (Request Smuggling). על אף פי שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר. היעד שהציבה הסוכנות לסגירת 7 מהחולשות הוא ה-8 בספטמבר, וה-12 בספטמבר עבור אחת מהן.
צוות קונפידס ממליץ למשתמשי מוצרים של החברות האמורות לעדכנם לגרסאותיהם האחרונות.
קמפיין חדש של נוזקת הבנקאות הטרויאנית Grandoreiro תוקף תעשיות במדינות דוברות ספרדית
הקמפיין, שהחל בחודש יוני, מתמקד בארגונים בספרד ובמקסיקו המשתייכים למגזרי הרכב, הבנייה האזרחית והתעשייתית, הלוגיסטיקה, תאגידי ייצור המכונות ועוד, ומתבסס על שליחת מייל פישינג שנכתב בספרדית ומכיל קישור שלחיצה עליו מפעילה נוזקה המתחזה למסמך PDF. הודעות הדיוג כוללות מלל בנושאים כגון החזרי תשלומים, הודעות ליטיגציה, ביטולי הלוואות משכנתא ושוברי פיקדון, כל זאת על מנת לפתות את הקורבנות לפתוח את המיילים. לאחר שעמדה נדבקה בנוזקה, מבוצעות בה פעולות של איסוף מידע מערכתי, אחזור רשימות של פתרונות אנטי-וירוס המותקנים בה ואיסוף מידע על ארנקי קריפטו, אפליקציות בנקאות ומיילים. המידע שנאסף נשלח לשרת C2 מרוחק שברשות התוקפים.
הנוזקה Grandoreiro, הפעילה מזה שש שנים לפחות, היא דלת אחורית מודולרית בעלת מערך פונקציונלי המאפשר לה להקליט הקשות משתמשים, לבצע פקודות שרירותיות, לחקות תנועות עכבר ומקלדת, להגביל גישה לאתרים ספציפיים, לעדכן את עצמה באופן אוטומטי ולבצע שינוי ברישום ה-Windows בארגונים שאליהם הצליחה לחדור. הנוזקה כתובה בשפת Delphi ומשתמשת בטכניקות כמו ריפוד בינארי על מנת לנפח את הגודל הבינארי של הדיסק הקשיח ב-200MB, והטמעת CAPTCHA כדי לחמוק מארגזי חול״ המותקנים במערכות של ארגונים. זאת ועוד, הנוזקה מאפשרת תקשורת באמצעות C2 דרך תת-דומיינים שנוצרו באמצעות אלגוריתם ליצירת תחום (DGA).
מחקירת הנוזקה המתוחכמת עולה שהיא מתפתחת ללא הרף וכוללת מאפיינים אנטי-אנליטיים חדשים, המעניקים לתוקפים גישה מלאה מרחוק ומהווים איום משמעותי על ארגונים. ההתפתחויות בנוזקה מגיעות כשנה לאחר שרשויות אכיפת החוק בספרד עצרו 16 אנשים שנחשדו כבעלי קשר להפעלת הנוזקות Mekotio ו-Grandoreiro.
ארה״ב: הגדרות לא נכונות ב-Meta pixel חשפו מידע רפואי של 1.3 מיליון מטופלים של ספקית שירותי בריאות
ספקית שירותי הבריאות האמריקאית Novant Health הודיעה שהמידע שדלף נאסף על ידי Meta pixel (לשעבר Facebook pixel), שהינו קוד JavaScript אשר באמצעותו משתמשי פלטפורמת הפרסום של פייסבוק יכולים לעקוב אחרי ביצועי מודעותיהם. חשיפת המידע הרגיש החלה בחודש מאי 2020, כאשר Novant Health הפעילה קמפיין פרסומי לחיסונים נגד קורונה, לרבות פרסום בפייסבוק. על מנת לעקוב אחר יעילות המודעות בפייסבוק, Novant Health הוסיפה לאתרה את אותו קוד של Meta pixel, אך בעקבות הגדרה שגויה באתר נחשף פורטל MyChart שהעביר מידע חסוי ל-Meta ולשותפותיה בתחום הפרסום. ככל הנראה, המידע שהועבר כלל כתובות מייל, מספרי טלפון, כתובות IP, פרטי קשר בחירום, סוגי פגישות ותאריכיהן, רופא מטפל, בחירות תפריטי הפורטל וכל תוכן שהוזן בתיבות הטקסט החופשי. 64 ספקי שירותי בריאות בארצות הברית משתמשים בפורטל ה-MyChart, המאפשר קביעת תורים לרופאים, חידוש מרשמים ופעולות נוספות, ומכאן שאפילו נתונים של מטופלים שלא השתמשו ישירות בשירותי Novant Health יכלו להיחשף בשל אותה הגדרה שגויה. רק ב-2022 גילו צוותי ה-IT של החברה את השגיאה, והסירו את ה-Meta pixel מהאתר ומהפורטל שלה, לאחר חשיפת מידע שנמשכה שנתיים. על פי מידע שפורסם באתר החברה, ב-17 ביוני הסתיימה חקירה מקיפה של האירוע, שנועדה למצוא את המשתמשים שהמידע שלהם נחשף. אי לכך, רק המשתמשים שקיבלו הודעה על כך נמצאים בסיכון לחשיפת מידע. לדברי Novant Health היא פנתה ל-Meta בבקשה למחוק של המידע הרפואי, אך טרם קיבלה מענה.
סייבר בישראל
ישראל וארה״ב חתמו על הסכם שיתוף פעולה סייבר-פיננסי
בפגישה שהתקיימה בנובמבר 2021 בין שר האוצר אביגדור ליברמן לסגן שרת החוץ של ארצות הברית וולי אדיימו, נדונו העמקת והידוק שיתוף הפעולה בין המדינות בהגנה על תשתיות פיננסיות ויציבות המגזר הפיננסי, על מנת לחזק את חוסנה של המערכת הפיננסית הלאומית והבינלאומית. כעת, ב-23 באוגוסט נחתם הסכם שיתוף פעולה סייבר-פיננסי בין משרדי האוצר של שתי המדינות, שבעקבותיו צפויים המשרדים להוביל בסוף השנה תרגיל בילטרלי ראשון בתחום, לתרגול עמידות המערכת הפיננסית נוכח מתקפת סייבר מצד גורמים המאיימים לפגוע בחסינותה. ההיבטים המרכזיים של ההסכם נוגעים לשיתוף מידע סייבר-פיננסי (כגון מידע בנושא אבטחת סייבר, אירועים ואיומים), למתודולוגיות עבודה לחיזוק חוסנה של המערכת הפיננסית ולביצוע תרגילי סייבר-פיננסיים משותפים וחוצי גבולות. במעמד חתימת ההסכם אמר שר האוצר, אביגדור ליברמן כי ״אנו מעמיקים היום את השותפות ארוכת השנים בין ישראל וארצות הברית ופורסים כיפת ברזל למערכת הפיננסית להגנה מפני איומי סייבר. יחד, נערך לשמירה על רציפות אספקת שירותים פיננסים חיוניים עבור אזרחי ישראל ולשמירה על פעילות תקינה של המערכת הפיננסית כולה״.
באג חמור במערכות חברת ״ארקיע״ הוביל לדלף מידע רגיש של נוסעים ואפשר ביצוע שינויים בפרטי כרטיסיהם
ב-25 באוגוסט לקוח של חברת ״ארקיע״ שניסה לבצע צ׳ק-אין ושדרוג לטיסה שהזמין הופתע לגלות כי נחשף למאגר לקוחות שלם, הכולל מספרי הזמנות, יעדים ופרטי כרטיסי אשראי. עוד גילה כי יש ביכולתו לשנות או לבטל את הזמנותיהם. מחברת ״ארקיע״ נמסר שברגע היוודע התקלה החלה לפעול למיגורה. על פי צילומי המסך להלן, ניתן לראות שהחברה סגרה זמנית את האפשרות לכניסת משתמשים לאזורם האישי באתרה.
סייבר ופרטיות - רגולציה ותקינה
חברות הביטוח בשוק הביטוח Lloyd's לא יכסו התקפות סייבר מדינתיות
שוק הביטוח וביטוח המשנה Lloyd's מבקש מכל חברות הביטוח המציעות פוליסות Standalone מסוג CY (פריצה למחשבים, פרטיות וסייבר) או CZ (נזק לרכוש והגנת סייבר) להכניס לפוליסות החרגות הנוגעות למתקפות מדינתיות. החרגות אלה יתווספו להחרגות הנוגעות למלחמה, שכבר קיימות בפוליסות. על פי Lloyd's, לכל הפחות:
-
אין לכלול בפוליסות הפסדים (Losse) הנובעים ממלחמה (בין אם הוכרזה ובין אם לאו).
-
אין לכלול בפוליסות הפסדים הנובעים מתקיפות סייבר בגיבוי מדינה.
-
אין לכלול בפוליסות הפסדים הפוגעים באופן משמעותי ביכולתה של מדינה לתפקד או ביכולות הביטחוניות של מדינה.
-
יש להבהיר אם הכיסוי אינו כולל מערכות מחשב הממוקמות מחוץ למדינה ותקיפה שלהן על ידי מדינה גורמת לפגיעה במדינה לה יש ביטוח סייבר.
-
יש להגדיר בסיס המוסכם על שני הצדדים בנוגע לאופן בו כל מתקפת סייבר המגובה על ידי מדינה תיוחס למדינה (אחת או יותר).
למרות שהאחריות על ניסוח ההחרגות מוטלת על כל מבטח, Lloyd's ממליצה להיעזר בניסוחי ה-Lloyd's Market Association, הכוללים את ההגדרות הבאות:
-
הגורם העיקרי, אך לא בלעדי, בייחוס מתקפות סייבר יהיה מדינה (לרבות שירותי המודיעין והביטחון שלה) שבה ממוקמת פיזית מערכת המחשוב המושפעת מפעולת הסייבר, והיא תייחס את פעולת הסייבר למדינה אחרת או לפועלים מטעמה.
-
עד לייחוס על ידי המדינה (לרבות שירותי המודיעין והביטחון שלה) שבה ממוקמת פיזית מערכת המחשוב המושפעת מפעולת הסייבר, רשאי המבטח להסתמך על מסקנה סבירה מבחינה אובייקטיבית לגבי ייחוס פעולת הסייבר למדינה אחרת או למי מטעמה. בתקופה זו לא ישולם הפסד.
-
במקרה שלמדינה (לרבות שירותי המודיעין והביטחון שלה) שבה ממוקמת פיזית מערכת המחשוב המושפעת מפעולת הסייבר לוקח זמן בלתי סביר לביצוע הייחוס או שהיא אינה מבצע ייחוס או שהיא מצהירה שאין ביכולתה לייחס את פעולת הסייבר למדינה אחרת או למי מטעמה, יהא על המבטח להוכיח ייחוס בהתאם לראיות קיימות אחרות.
Lloyd's מבהירה שהדרישות ייכנסו לתוקף החל מה-31 במרץ 2023, עם תחילתה או חידושה של כל פוליסה.
ההחרגות אינן נוגעות במתקפות שמקורן בארגוני טרור. יצוין כי מרבית פוליסות הסייבר בישראל מגובות על ידי חברות ביטוח ב-Lloyd's, ולכן על חברות ישראליות שרוכשות פוליסות ביטוח לשים לב להחרגות האמורות.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.