3 התקפות סייבר חדשות ביולי 2018 במזה"ת וגם בישראל
מאת: מערכת Telecom News, 1.8.18, 06:50

לאחרונה דווח, שקבוצת התקיפה DarkHydrus פועלת במזרח התיכון, שיש קמפיין חדש של קבוצת תקיפה איראנית, שמכונה Leafminer, במגוון יעדים במזרח התיכון, ועל קמפיין של קבוצת Oilrig האיראנית, שמשתמש בפוגען חדש נגד גופים במזרח התיכון. איך מתמודדים?
 
לאחרונה דווח, שקבוצת התקיפה DarkHydrus פועלת במזרח התיכון.
נחשפה התקפה חדשה נגד גורם ממשל במזרח התיכון. ההתקפה בוצעה ע"י קבוצת תקיפה לא מוכרת - DarkHydrus.
   
ביולי 2018 זוהתה התקפה חדשה העושה שימוש בקבצי Excel Web Query files - iqy. קובץ זה הוא קובץ טקסט המכיל URL ונפתח ע"י אקסל.
 
יש לציין, שאקסל מתריע בפני המשתמש ומבקש אישור להוריד תוכן מהקישור המופיע בתוך קובץ iqy.
 
בהתקפה זו, הקובץ המצורף לדוא"ל נקרא credential.rar. בגוף ההודעה, שמנוסחת בערבית, התבקש הנמען לפתוח את המסמך המצורף. ההודעה כללה את הסיסמה 123456 כדי לפתוח את הקובץ.
 
פתיחת הקובץ תחלץ מתוכו קובץ בעל סיומת iqy. אם המשתמש מתיר את הפעלת הקובץ, הקישור יוריד ויריץ, אם המשתמש יאפשר, פקודת PowerShell, שתוריד קובץ PowerShell נוסף, שהוא הפוגען, שקיבל את הכינוי RogueRobin.
 
מומלץ לחזור ולהדגיש למשתמשים כי יש להפעיל שיקול דעת בנוגע לפתיחת צרופות, שהגיעו משולחים לא מוכרים או שהגיעו באופן בלתי צפוי משולחים מוכרים.
 
לאחרונה דווח על קמפיין חדש של קבוצת תקיפה איראנית במגוון יעדים במזרח התיכון
לאחרונה פורסם אודות קמפיין של קבוצת תקיפה איראנית המכונה Leafminer, שתוקפת יעדים מהמגזר העסקי והממשלתי במדינות במזרח התיכון, החל מ-2017.
   
וקטור התקיפה הראשוני של הקבוצה הוא באמצעות תקיפות Watering Hole, ניצול פגיעויות בשירותי רשת נגישים או מתקפות ניחוש סיסמאות מבוססות מילון (Dictionary Attacks).
 
הקבוצה משתמשת בעיקר בכלים פומביים המפורסמים ברשת וכן ב-PoC ובקודי תקיפה (Exploits) מוכרים. היה שימוש בשרתי Web כדי לאחסן את הכלים וכן נוצלו 2 פגיעויות ישנות: EternalBlue (CVE-2017-0143), שבה השתמשו במתקפות WannaCry ו-NotPetya וכן HeartBleed (CVE-2014-0160).
 
לאחר החדירה הראשונית לרשת המותקפת, הקבוצה עושה שימוש בפניות מבוססות SMB לשרת מחוץ לרשת הארגונית כדי להשיג נתוני הזדהות. נתונים אלה יותקפו לאחר מכן בשיטות של Brute Force לזיהוי הסיסמה.
 
בנוסף, משתמשת הקבוצה ב-Mimikatz וב-LaZagne לטובת חילוץ נתוני הזדהות וב-PsExec לטובת תנועה רוחבית. הקבוצה משתמשת גם בכלי Total SMB BruteForcer כדי להשיג נתוני הזדהות לשירות SMB.
 
לאחר ההתפשטות ברשת, מתבצע תהליך הדלפת המידע לשרת ה-C&C של התוקף באמצעות מגוון כלים.
 
על פי הדיווח, נמצאה רשימת יעדים בהם בוצעו תקיפות, ואחד מן היעדים הוא בישראל.
 
על פי הערכה, ישנה חפיפה בין פעילות קבוצה זו לפעילויות קבוצות תקיפה איראניות מוכרות אחרות.
 
מומלץ לבחון האם נדרשת מטעמים עסקיים, גישה מרשת הארגון לשרת באינטרנט בפרוטוקול SMB. במידה שהתשובה שלילית, מומלץ לבחון הגדרת חוק ב-Firewall שימנע תעבורה זו.
 
בנוגע להתמודדות עם תנועה רוחבית - מומלץ לוודא, שיכולת זו בין עמדות קצה בארגון מנוטרלת, באמצעות חוקי FW והגדרות ב-Host FW של עמדות הקצה, או שימוש ב-Private VLAN. מומלץ לאפשר לעמדות קצה לתקשר עם השרתים השונים בארגון בלבד, ולא בינן לבין עצמן. יש לבחון שינוי זה במערכות טרם מימושו.
 
כ"כ, ארגון, שעדיין לא התקין את עדכון האבטחה MS17-010 מחודש מרץ 2017, שמונע שימוש בפגיעות EternalBlue ובפגיעויות אחרות, מומלץ לעשות זאת בהקדם האפשרי.
 
מומלץ גם לבחון נטרול השימוש בגרסה V1 של פרוטוקול SMB ברשת, משום שהיא מיושנת ופגיעה.
 
אודות התמודדות עם Mimikatz, ראו סעיף דרכי התמודדות - כאן.
 
לאחרונה דווח גם על קמפיין של קבוצת Oilrig משתמש בפוגען חדש נגד גופים במזרח התיכון.
לאחרונה פורסם על קמפיין חדש של קבוצת התקיפה האיראנית Oilrig, שידועה גם בכינוי APT34, נגד גופים במזרח התיכון.
   
במסגרת הקמפיין, שכלל 2 גלים, הקבוצה פרצה לארגון אחד ושלחה ממנו הודעות דואר אלקטרוני, שהכילו פוגען, לגופים במזרח התיכון, אותם בחרה להתקיף.
 
הקבוצה השתמשה בפוגען מסוג RAT, שכתוב ב-PowerShell ומכונה Quadagent, וכן בכלי ערפול חינמי בשם Invoke-obfuscation. כלי זה נועד במקור למטרות הגנה, ומאפשר להפעיל ערפול של PowerShell Scripts כדי לבחון את יכולות הזיהוי של מערכות ההגנה.
 
כאמור, הפוגען נשלח לגורם המותקף באמצעות הודעות דואר אלקטרוני. ברגע שהנתקף הפעיל את הצרופה, שהייתה קובץ PE, הפוגען הופעל ויצר קשר עם שרת ה-C&C של התוקף באמצעות DNS Tunneling. זאת, כדי להסוות את התעבורה. הפוגען שומר על שרידות באמצעות Scheduled Task.
 
בגל התקיפות השני הקובץ המצורף לא היה PE אלא קובץ Office, שהכיל פקודות מאקרו זדוניות.
 
אודות הקבוצה:
קבוצת התקיפה OilRig פעילה בשנתיים האחרונות בתקיפות למול מספר מדינות במזרח התיכון, בעיקר באמצעות דיוג ממוקד (Spear-Phishing). הקבוצה פועלת מול מגוון רחב של מגזרים בהם: המגזר הממשלתי, הפיננסי, העסקי, אנרגיה, תחבורה, בריאות, טכנולוגיה, תקשורת ואקדמיה. המערך המופעל ע"י הקבוצה כולל מספר כלים שוהים מרכזיים מסוג Backdoor ומתבסס בעיקר על פעילות Online ושימוש ב-Webshells. בנוסף, הקבוצה ניצלה מספר פעמים פגיעויות של מיקרוסופט במסגרת התקיפות.
 
המערך נחשף מספר פעמים בשנים האחרונות ע"י חברות אבטחת מידע. בעקבות החשיפה, חידשו או שינו התוקפים את ארסנל הכלים של המערך כדי לשמור על אחיזתם ברשתות הנתקפות.
 
יש להפעיל שיקול דעת לגבי הפעלה או פתיחה של צרופות המגיעות בדואר אלקטרוני מגורמים בלתי מוכרים, או אף מגורמים מוכרים אך באופן בלתי צפוי.

SECURITY REPORT 2018 -ראה כאן "מבט על" על תחום סייבר ב-2018. 

עדכון 22:50: ומאיראן לתימן: האקרים המכנים עצמם Yemen Cyber Army (צבא הסייבר של תימן) תקפו והשחיתו הערב את אתרי "כאן" ו"ערוץ 10", והכניסו בהם תכנים מוסלמיים. המצב הוחזר לקדמותו לאחר כשעה. לא נראה שנגנבו פרטים של גולשים.

עדכון 8.8.18, 20:30: דווח על קמפיין תקיפה של קבוצת Oilrig במפרץ הפרסי: קמפיין התקיפה מופעל באמצעות 2 פוגענים: הראשון תוקף את מערכת ההפעלה Windows ומכונה OopsIE. הפוגען השני תוקף את מערכת ההפעלה אנדרואיד ומכונה SpyNote. הפוגען OopsIE, מגיע כצרופה להודעת דוא"ל. הפעלת הצרופה תגרום להתקנת הפוגען. הפוגען שומר על אחיזה בעמדה באמצעות Scheduled Task. מומלץ לשקול היטב טרם פתיחת צרופה ממקור בלתי מוכר, וכן צרופה, שהגיעה ממקור מוכר, אך באופן בלתי צפוי. מומלץ להתקין יישומי אנדרואיד אך ורק מחנות היישומים הרשמית של גוגל. המידע הראשוני להתרעה הגיע מחברת ClearSky.