דווח על תקיפות דיוג ממוקד נגד גורם ממשלתי במזרח התיכון

דווח על תקיפות דיוג ממוקד נגד גורם ממשלתי במזרח התיכון
מאת: מערכת ,Telecom News 12.10.17, 14:52
 
לאחרונה דווח, שקבוצת התקיפה Oilrig ביצעה תקיפות ממוקדות נגד גורם ממשלתי במדינה באזור. הן בוצעו ע"י דיוג ממוקד, כאשר הדוא"ל כולל 2 צרופות המשמשות להורדת סוס טרויאני לעמדה המותקפת.
מה עושים?

דווח, שב-23.8.17 הגיעו לגורמים ממשלתיים במדינה מזרח תיכונית הודעות דוא"ל, שכותרתן "Importan Issue" (שגיאת הכתיב במקור), שמכילות 2 קבצי ZIP.
 
בנוסף הכילה ההודעה לינק לקובץ תמונה בשרת מרוחק www.cdnakamaiplanet[.]com. מטרתו של קובץ זה לסמן, ככל הנראה, לתוקף האם ההודעה נפתחה ע"י הנמען.
 
מבדיקת ה-Headers של ההודעה נראה, שמקורה, ככל הנראה, בשרת ה- OWA של הארגון המותקף, שנפרץ, ככל הנראה, מוקדם יותר באמצעות ניחוש סיסמאות משתמשים.
 
הקבצים הכילו כל אחד קובץ בודד:
הראשון נקרא Issue.doc והשני Issue.dot.
 
2 הקבצים הללו הם קבצים זדוניים:
הראשון מנסה לגרום למשתמש לאפשר הרצת Macro, ואם יופעל יכתוב קובץ לדיסק ויפענח אותו באמצעות פקודת PowerShell, שתיצור קובץ המשמש להורדת הרכיב האחרון בתקיפה - סוס טרויאני.
 
הקובץ השני מנסה לנצל את פגיעות CVE-2017-0199 המוכרת.
 
הפוגענים משמרים אחיזה בעמדה המותקפת באמצעות הרצת 2 פקודות SchTasks (מתזמן הפעלה).
 
הפעלת הקוד הסופי של הפוגען כוללת שימוש באמצעים כנגד ניתוח הקוד, כדי להקשות על הבנת אופן פעולתו. שרתי הניהול של הפוגען מאוחסנים בדומיינים בעלי שמות דומים לאלה של דומיינים לגיטימיים של חברות מוכרות.
 
מומלץ לשקול היטב אם לפתוח צרופות מהודעות, שמקורן לא ידוע, או שהגיעו באופן לא צפוי.

מומלץ להגדיר אי הרצה של Macro בקבצי ,Word שהגיעו כצרופה, וכן צפיה בקבצים אלה רק ב-Protected View, ולא להסיר הגנות אלו אלא לאחר שמבררים עם המקור באמצעים, שאינם דוא"ל חוזר, שאכן ההודעה נשלחה ממנו.

מומלץ לשמור על עדכניות התוכנה שבשימוש ובפרט לוודא, שהותקנו עדכוני האבטחה:

CVE-2017-0199,
CVE-2017-8759.