התגלה ניצול שרשרת האספקה לתקיפה במגזר הפיננסי
מאת:
מערכת Telecom News, 10.5.17, 01:20
מיקרוסופט חשפה תקיפה נגד ארגונים העושה שימוש בשרשרת האספקה לתקיפת יעדים בעיקר במגזר הפיננסי. המערך עשה שימוש בתהליך העדכון של תוכנה צד ג', למימוש השגת הנגישות למחשבים המותקפים.
מיקרוסופט
זיהתה תקיפה נגד ארגונים שונים בעלי פרופיל גבוה במגזר הפיננסי ושירותי תשלומים וכן במגזר הטכנולוגיה
. הפעלת תהליך עדכון לגיטימי של תוכנה צד ג', שמערך העדכון שלה נפרץ בנפרד ע"י התוקף, גורמת להורדת הקוד הזדוני אל המחשב המותקף ולהפעלתו. הפוגען נעזר לאחר מכן בפקודות
Powershell להורדת תוכנת
Meterpreter של
Metasploit להמשך התקיפה.
פעולות נוספות, ובכלל זה סריקת הרשת, מציאת נתוני הזדהות ותנועה רוחבית בין מחשבים ברשת, בוצעו באמצעות פקודות מערכת זמינות או בעזרת סקריפטים, שהורצו בזיכרון בלבד באמצעות
.Powershell
טקטיקות הפעולה של התוקף התבססו על:
השמדה עצמית של הפוגען הראשוני, ששימש להשגת האחיזה במחשב המותקף.
שימוש בכלים מבוססי זיכרון בלבד בסיוע
Powershell ו-
.Meterpreter
זיהוי יעדים ברשת באמצעות פקודות סטנדרטיות כגון
Net ,Ipconfig .Netstat ,Nltest ,Whoami
מעבר של הפוגען לתוך תהליכים הפעילים לאורך זמן כגון תוכנת ההדפסה Printer Spooler.
שימוש בתוכנות מוכרות כגון
Mimikatz ו-
Kerberoastלחילוץ נתוני הזדהות.
תנועה רוחבית באמצעות ממשק
WMI בפרט פקודת
.WMIC /node
הגדרות להפעלה חוזרת
Persistance באמצעות תזמון תהליכים בעזרת הפקודות
.Schtasks ,AT
מומלץ לסרוק את הלוגים במערכותיכם לאיתור תעבורה ליעדים אלה. במידה שתעבורה כזו תימצא, הדבר עלול להעיד על הדבקה
. 
