קבוצת תקיפה המכונה Chafer תוקפת ארגונים, חלקם דרך שרשרת האספקה
מאת:
מערכת Telecom News, 14.3.18, 23:50
דווח על קמפיין תקיפה מאיראן במזרח התיכון נגד יעדים ממגזרים שונים. פירוט לגבי הקמפיין, הכלים שלו, הקבוצה ודרכי התמודדות.
דווח על קבוצת תקיפה מאיראן המכונה
,Chafer שאפשר וקשורה לקבוצת תקיפה מוכרת בשם
,Oilrig שתוקפת ארגונים שונים, חלקם דרך שרשרת האספקה שלהם.
בקמפיין הנוכחי, תוקפת הקבוצה יעדים במזרח התיכון מהמגזרים הבאים: תעופה, תחבורה, תוכנה ו
,IT- הנדסה, משאבי אנוש, תקשורת.
אודות הקמפיין
בקמפיין הנוכחי הקבוצה משתמשת בשיטות של דיוג ממוקד
Spear Phishing כווקטור תקיפה ראשוני, במסגרתו נשלחים בד"כ קבצי
Excel זדוניים. במידה שהקובץ נפתח ע"י המשתמש, יורד לעמדה סקריפט
VBS המפעיל סקריפט
.PowerShell
כתוצאה משרשרת פעולות אלו, בחלוף מספר שעות יופיע בעמדה קובץ
,Dropperשיתקין על העמדה 3 כלים לשימוש התוקף:
תוכנה לגניבת מידע
,Info Stealer
תוכנה ללכידת תמונת מסך,
קובץ ריצה ריק.
בתוכנה ללכידת תמונת מסך נעשה שימוש מועט, ורק בשלב הראשוני של התקיפה. תוכנת גניבת המידע יודעת לחלץ מידע מה-
,Clipboard ללכוד תמונת מסך, להקליט הקשות מקלדת, לגנוב קבצים ונתוני גישה
. ניתן להוריד לעמדה המותקפת כלים נוספים באמצעות כלי מבוסס
.PowerShell כלים אלה ישמשו לתנועה רוחבית
Lateral Movement ברשת המותקפת
.
חלק מהכלים, שבהם משתמשת הקבוצה בקמפיין זה, הם חינמיים וניתנים להשגה ברשת, ביניהם:
- Remcom תוכנת קוד פתוח המקבילה בתפקודה ל
.PsExec- מאפשרת להפעיל תוכנות ולהריץ תהליכים מרחוק.
NSSM - משמשת לניהול שירותים
,Services לשם הרצת הפוגען כשירות. כך, שתישמר אחיזה בעמדה המותקפת.
כלי ייעודי לחילוץ מידע מה-
,Clipboard ולכידת תמונת מסך
.
כלים לניצול פגיעויות בפרוטוקול
,SMB כולל הפגיעות
EternalBlue המוכרת מ-
Wannacryו
.Petya-
GNU HTTPTunnel - תוכנת קוד פתוח המאפשרת יצירת ערוץ תקשורת דו-כיווני בין עמדות באמצעות תעבורת
,HTTP תחת ההנחה, שפרוטוקול זה פתוח ברוב ה-
.Firewalls
- UltraVNC כלי ניהול מרחוק למערכת הפעלה
.Windows
NBTScan - כלי המאפשר סריקת רשתות וחיפוש אחר מידע הקשור לפרוטוקול
,NetBIOS שמצוי בשימוש במערכות
.Windows
בנוסף, הקבוצה משתמשת גם בפוגען המוכר
Remexi ובכלים מוכרים נוספים כגון
.Pwdump ,Mimikatz, Plink התוכנה האחרונה משמשת לפתיחת ערוץ מוצפן באמצעות
SSH בין התוקף לבין פורט
(RDP) 3389 במחשב המותקף
.
אודות הקבוצה
הקבוצה החלה את פעילותה ב-2014, וב-2015 החלה לתקוף יעדים במזרח התיכון. וקטור התקיפה הראשוני של הקבוצה היה בעבר שרתי
,Web לרוב באמצעות
.SQL Injection
בקמפיין זה וקטור התקיפה הראשוני של הקבוצה השתנה, ונעשה שימוש בעיקר בקבצי
Excel נגועים.
דרכי התמודדות
יש להקפיד לא לפתוח קבצים, שהגיעו מגורמים, שאינם מוכרים, או אף מגורמים מוכרים אך באופן בלתי צפוי. בכל מקרה של ספק, מומלץ לברר קודם עם השולח, בתווך תקשורת, שאינו דוא"ל, האם שלח את ההודעה המדוברת.
פתיחת קבצי
,Office שמקורם ברשת האינטרנט, מומלצת רק במצב של נטרול הפעלת
,Macros ושימוש ב
.Protected View-
יש לחשוד אם המסמך מפרט בתוכנו מדוע יש לבטל אמצעי הגנה אלה, חלקם או כולם.
מומלץ לבחון האם ניתן להגביל תעבורת
SMB ברשת הארגונית. כך, שהיא תפעל מעמדת הקצה אל השרתים השונים בלבד.
מומלץ לבחון האם ניתן לבטל שימוש בפרוטוקול
SMBv1 ברשת הארגונית.
יש לוודא, שעדכוני האבטחה של מיקרוסופט, ובפרט עדכון
MS17-010 מחודש זה - מרץ 2017, הותקנו בכל העמדות והשרתים בארגון
.
פרטים נוספים על הקבוצה המיוחסת לאיראן ניתן לקרוא גם בכתבה - כאן
Chafer: Iranian hacking group expands attacks, spying operations on airline firms in Middle East
. 
