3 התקפות סייבר חדשות ביולי 2018 במזה"ת וגם בישראל

דף הבית >> חדשות אבטחה ועולם הסייבר >> 3 התקפות סייבר חדשות ביולי 2018 במזה"ת וגם בישראל
3 התקפות סייבר חדשות ביולי 2018 במזה"ת וגם בישראל
מאת: מערכת Telecom News, 1.8.18, 06:50CYBER FREE

לאחרונה דווח, שקבוצת התקיפה DarkHydrus פועלת במזרח התיכון, שיש קמפיין חדש של קבוצת תקיפה איראנית, שמכונה Leafminer, במגוון יעדים במזרח התיכון, ועל קמפיין של קבוצת Oilrig האיראנית, שמשתמש בפוגען חדש נגד גופים במזרח התיכון. איך מתמודדים?
 
לאחרונה דווח, שקבוצת התקיפה DarkHydrus פועלת במזרח התיכון.
נחשפה התקפה חדשה נגד גורם ממשל במזרח התיכון. ההתקפה בוצעה ע"י קבוצת תקיפה לא מוכרת - DarkHydrus.
   
ביולי 2018 זוהתה התקפה חדשה העושה שימוש בקבצי Excel Web Query files - iqy. קובץ זה הוא קובץ טקסט המכיל URL ונפתח ע"י אקסל.
 
יש לציין, שאקסל מתריע בפני המשתמש ומבקש אישור להוריד תוכן מהקישור המופיע בתוך קובץ iqy.
 
בהתקפה זו, הקובץ המצורף לדוא"ל נקרא credential.rar. בגוף ההודעה, שמנוסחת בערבית, התבקש הנמען לפתוח את המסמך המצורף. ההודעה כללה את הסיסמה 123456 כדי לפתוח את הקובץ.
 
פתיחת הקובץ תחלץ מתוכו קובץ בעל סיומת iqy. אם המשתמש מתיר את הפעלת הקובץ, הקישור יוריד ויריץ, אם המשתמש יאפשר, פקודת PowerShell, שתוריד קובץ PowerShell נוסף, שהוא הפוגען, שקיבל את הכינוי RogueRobin.
 
מומלץ לחזור ולהדגיש למשתמשים כי יש להפעיל שיקול דעת בנוגע לפתיחת צרופות, שהגיעו משולחים לא מוכרים או שהגיעו באופן בלתי צפוי משולחים מוכרים.
 
לאחרונה דווח על קמפיין חדש של קבוצת תקיפה איראנית במגוון יעדים במזרח התיכון
לאחרונה פורסם אודות קמפיין של קבוצת תקיפה איראנית המכונה Leafminer, שתוקפת יעדים מהמגזר העסקי והממשלתי במדינות במזרח התיכון, החל מ-2017.
   
וקטור התקיפה הראשוני של הקבוצה הוא באמצעות תקיפות Watering Hole, ניצול פגיעויות בשירותי רשת נגישים או מתקפות ניחוש סיסמאות מבוססות מילון (Dictionary Attacks).
 
הקבוצה משתמשת בעיקר בכלים פומביים המפורסמים ברשת וכן ב-PoC ובקודי תקיפה (Exploits) מוכרים. היה שימוש בשרתי Web כדי לאחסן את הכלים וכן נוצלו 2 פגיעויות ישנות: EternalBlue (CVE-2017-0143), שבה השתמשו במתקפות WannaCry ו-NotPetya וכן HeartBleed (CVE-2014-0160).
 
לאחר החדירה הראשונית לרשת המותקפת, הקבוצה עושה שימוש בפניות מבוססות SMB לשרת מחוץ לרשת הארגונית כדי להשיג נתוני הזדהות. נתונים אלה יותקפו לאחר מכן בשיטות של Brute Force לזיהוי הסיסמה.
 
בנוסף, משתמשת הקבוצה ב-Mimikatz וב-LaZagne לטובת חילוץ נתוני הזדהות וב-PsExec לטובת תנועה רוחבית. הקבוצה משתמשת גם בכלי Total SMB BruteForcer כדי להשיג נתוני הזדהות לשירות SMB.
 
לאחר ההתפשטות ברשת, מתבצע תהליך הדלפת המידע לשרת ה-C&C של התוקף באמצעות מגוון כלים.
 
על פי הדיווח, נמצאה רשימת יעדים בהם בוצעו תקיפות, ואחד מן היעדים הוא בישראל.
 
על פי הערכה, ישנה חפיפה בין פעילות קבוצה זו לפעילויות קבוצות תקיפה איראניות מוכרות אחרות.
 
מומלץ לבחון האם נדרשת מטעמים עסקיים, גישה מרשת הארגון לשרת באינטרנט בפרוטוקול SMB. במידה שהתשובה שלילית, מומלץ לבחון הגדרת חוק ב-Firewall שימנע תעבורה זו.
 
בנוגע להתמודדות עם תנועה רוחבית - מומלץ לוודא, שיכולת זו בין עמדות קצה בארגון מנוטרלת, באמצעות חוקי FW והגדרות ב-Host FW של עמדות הקצה, או שימוש ב-Private VLAN. מומלץ לאפשר לעמדות קצה לתקשר עם השרתים השונים בארגון בלבד, ולא בינן לבין עצמן. יש לבחון שינוי זה במערכות טרם מימושו.
 
כ"כ, ארגון, שעדיין לא התקין את עדכון האבטחה MS17-010 מחודש מרץ 2017, שמונע שימוש בפגיעות EternalBlue ובפגיעויות אחרות, מומלץ לעשות זאת בהקדם האפשרי.
 
מומלץ גם לבחון נטרול השימוש בגרסה V1 של פרוטוקול SMB ברשת, משום שהיא מיושנת ופגיעה.
 
אודות התמודדות עם Mimikatz, ראו סעיף דרכי התמודדות - כאן.
 
לאחרונה דווח גם על קמפיין של קבוצת Oilrig משתמש בפוגען חדש נגד גופים במזרח התיכון.
לאחרונה פורסם על קמפיין חדש של קבוצת התקיפה האיראנית Oilrig, שידועה גם בכינוי APT34, נגד גופים במזרח התיכון.
   
במסגרת הקמפיין, שכלל 2 גלים, הקבוצה פרצה לארגון אחד ושלחה ממנו הודעות דואר אלקטרוני, שהכילו פוגען, לגופים במזרח התיכון, אותם בחרה להתקיף.
 
הקבוצה השתמשה בפוגען מסוג RAT, שכתוב ב-PowerShell ומכונה Quadagent, וכן בכלי ערפול חינמי בשם Invoke-obfuscation. כלי זה נועד במקור למטרות הגנה, ומאפשר להפעיל ערפול של PowerShell Scripts כדי לבחון את יכולות הזיהוי של מערכות ההגנה.
 
כאמור, הפוגען נשלח לגורם המותקף באמצעות הודעות דואר אלקטרוני. ברגע שהנתקף הפעיל את הצרופה, שהייתה קובץ PE, הפוגען הופעל ויצר קשר עם שרת ה-C&C של התוקף באמצעות DNS Tunneling. זאת, כדי להסוות את התעבורה. הפוגען שומר על שרידות באמצעות Scheduled Task.
 
בגל התקיפות השני הקובץ המצורף לא היה PE אלא קובץ Office, שהכיל פקודות מאקרו זדוניות.
 
אודות הקבוצה:
קבוצת התקיפה OilRig פעילה בשנתיים האחרונות בתקיפות למול מספר מדינות במזרח התיכון, בעיקר באמצעות דיוג ממוקד (Spear-Phishing). הקבוצה פועלת מול מגוון רחב של מגזרים בהם: המגזר הממשלתי, הפיננסי, העסקי, אנרגיה, תחבורה, בריאות, טכנולוגיה, תקשורת ואקדמיה. המערך המופעל ע"י הקבוצה כולל מספר כלים שוהים מרכזיים מסוג Backdoor ומתבסס בעיקר על פעילות Online ושימוש ב-Webshells. בנוסף, הקבוצה ניצלה מספר פעמים פגיעויות של מיקרוסופט במסגרת התקיפות.
 
המערך נחשף מספר פעמים בשנים האחרונות ע"י חברות אבטחת מידע. בעקבות החשיפה, חידשו או שינו התוקפים את ארסנל הכלים של המערך כדי לשמור על אחיזתם ברשתות הנתקפות.
 
יש להפעיל שיקול דעת לגבי הפעלה או פתיחה של צרופות המגיעות בדואר אלקטרוני מגורמים בלתי מוכרים, או אף מגורמים מוכרים אך באופן בלתי צפוי.

SECURITY REPORT 2018 -ראה כאן "מבט על" על תחום סייבר ב-2018. 

עדכון 22:50: ומאיראן לתימן: האקרים המכנים עצמם Yemen Cyber Army (צבא הסייבר של תימן) תקפו והשחיתו הערב את אתרי "כאן" ו"ערוץ 10", והכניסו בהם תכנים מוסלמיים. המצב הוחזר לקדמותו לאחר כשעה. לא נראה שנגנבו פרטים של גולשים.

עדכון 8.8.18, 20:30: דווח על קמפיין תקיפה של קבוצת Oilrig במפרץ הפרסי: קמפיין התקיפה מופעל באמצעות 2 פוגענים: הראשון תוקף את מערכת ההפעלה Windows ומכונה OopsIE. הפוגען השני תוקף את מערכת ההפעלה אנדרואיד ומכונה SpyNote. הפוגען OopsIE, מגיע כצרופה להודעת דוא"ל. הפעלת הצרופה תגרום להתקנת הפוגען. הפוגען שומר על אחיזה בעמדה באמצעות Scheduled Task. מומלץ לשקול היטב טרם פתיחת צרופה ממקור בלתי מוכר, וכן צרופה, שהגיעה ממקור מוכר, אך באופן בלתי צפוי. מומלץ להתקין יישומי אנדרואיד אך ורק מחנות היישומים הרשמית של גוגל. המידע הראשוני להתרעה הגיע מחברת ClearSky.
 

 
NORDVPN



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקיםתוכנות לפרטיים ותוכנות לעסקיםתוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

11-18/11/18 - Gloab Entrepreneurship Week IL  

12/11/18 - Red Hat Forum Israel 2018 

25-29/11/18 - Oracle Week 2018  

9-12/12/18- Healthcare Technological INNOVATION Program 

13/12/18 - Video Trends for 2019 TLV  

7/3/19 - 2019 OurCrowd Global Investor Summit 

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לאוגוסט 2018 עפ"י Business Insider - כאן

תאגיד השידור - "עלינו". איך עשו עלינו סיבוב והשאירו את אגרת הטלוויזיה - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים לציבור - כאן

כל מה שלא מספרים לכם בנוגע לחקירת "פרשת בזק-YES" ולמה ביבי לא בעניין - כאן

סיכום ביקור בסיליקון ואלי - למה 3 הגדולות משקיעות ומפתחות באותם תחומים - כאן

מורה נבוכים בפרשת "תיק 4000" מי עוד צפוי להיחקר ומה עדיין לא נחקר - כאן

שלמה פילבר (עד לאחרונה מנכ"ל משרד התקשורת) - עד מדינה? הצחקתם אותי! - כאן

"יש אפליה בחקירה"? חשיפה: למה השר משה כחלון לא נחקר עד היום? - כאן

חשיפת חשד לשחיתות הדומה לזו של "תיק 4000" אך בתחום הסלולר - כאן

חשיפת ההונאה הגדולה שהובילה לכך שמוצרי התקשורת יקרים יותר בישראל - כאן

בלעדי לקוראי האתר: 1 ש"ח ליום שיחות וגלישה ללא הגבלה בחו"ל... - כאן

חשיפת מה שלא רוצים  שתדעו בעניין פריסת אנלימיטד (בניחוח בלתי נסבל) - כאן

צעירי קליפורניה "עפים על עצמם" עם ה-e-Scooter קורקינט בשם Bird (ציפור) - כאן

השוק הקווי לקראת דעיכה ויצירת מונופול חדש (סלקום) על חורבות בזק והוט - כאן

חשיפה: האם ניתן לחבר ממיר כבלים פרטי על רשת הוט? - כאן


 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
קפל
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Pixabay
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים