Telecom News - זוהה כלי חדש של קבוצת התקיפה Oilrig

זוהה כלי חדש של קבוצת התקיפה Oilrig

דף הבית >> חדשות אבטחה ועולם הסייבר >> זוהה כלי חדש של קבוצת התקיפה Oilrig
זוהה כלי חדש של קבוצת התקיפה Oilrig
מאת: מערכת Telecom News, 25.2.18, 21:36דיוג

קבוצת התקיפה Oilrig השתמשה לאחרונה בכלי חדש המכונה OopsIE בתקיפות נגד מוסדות פיננסיים במזרח התיכון. מהן 2 שיטות התקיפה? מהו הפוגען? מי היא הקבוצה? איך מתגוננים?

שיטת התקיפה
דווח, שבקמפיין הנוכחי אותרו 2 שיטות תקיפה להפעלת כלי התקיפה החדש.

בשיטה הראשונה נשלח דוא"ל בדיוג ממוקד, שהכיל קובץ Doc בשם Seminar  Invitation או .Strategy Preparation  קובץ זה הכיל פקודות מאקרו, שהפעילו את הפוגען בעמדה המותקפת.

בשיטה השנייה הפוגען הופעל ישירות באמצעות קישור לינק, שנשלח בדוא"ל.

 באחת הדגימות שאותרו השתמשה הקבוצה בקובץ, שחייב הכנסת סיסמה ע"י המשתמש )הסיסמה סופקה בגוף הדוא"ל). לרוב מטרת שיטה זו למנוע ניתוח של הקובץ ע"י מנגנוני אבטחה אוטומטיים.

הפוגען
 OopsIE הוא סוס טרויאני המופעל ושומר על שרידות בעמדה הנגועה באמצעות שילוב של הפעלתVBS SCRIPTS  ומשימות מתוזמנות ((Scheduled Tasks. הפוגען מסוגל להריץ פקודות ולהעלות או להוריד קבצים משרת השו"ב של התוקף.

 הקבוצה
קבוצת התקיפה OilRig פעילה בשנתיים האחרונות בתקיפות מול מספר מדינות במזרח התיכון, בעיקר באמצעות דיוג ממוקד Spear-Phishing.
 
הקבוצה פועלת מול מגוון רחב של מגזרים בהם: המגזר הממשלתי, הפיננסי, העסקי, אנרגיה, תחבורה, בריאות, טכנולוגיה, תקשורת ואקדמיה. המערך המופעל ע"י הקבוצה כולל מספר כלים שוהים מרכזיים מסוג Backdoor ומתבסס בעיקר על פעילות Online ושימוש ב- .Webshells

בנוסף, הקבוצה ניצלה מספר פעמים פגיעויות של מיקרוסופט במסגרת התקיפות.

המערך נחשף מספר פעמים בשנים האחרונות ע"י חברות אבטחת מידע. בעקבות החשיפה, חידשו או שינו התוקפים את ארסנל הכלים של המערך כדי לשמור על אחיזתם ברשתות הנתקפות.

דרכי התמודדות
מומלץ לחזור ולהזכיר למשתמשים את הכללים לגבי הפעלת קישורים וצרופות, בפרט בדוא"ל, שמקורו לא ידוע או שהגיע באופן בלתי-צפוי, גם ממקור ידוע.

מומלץ לאכוף ארגונית צפייה במסמכי Office כאשר הפעלת ה- Macrosמנוטרלת, ותחת,Protected View  בפרט עבור מסמכים, שמקורם ברשת האינטרנט.

מומלץ להדריך את המשתמשים לנהוג בחשדנות יתרה אם המסמכים, שהם מקבלים מייעצים להם, מסיבות שונות, להסיר מנגנוני אבטחה.

מומלץ לאכוף איסור קבלת מסמכים מוצפנים ב Mail Relay-הארגוני, אלא אם הארגון עושה שימוש מודע במנגנוני הצפנה אלה לצורך עסקי כלשהו. במקרים אלה רצוי למסד מנגנון הלבנה ארגוני, שרק לאחר בחינתו את הקבצים המפוענחים, הם יועברו ליעדם.

על הקבוצה וכלי תקיפה נוספים שלה או דומים להם - כאן, כאן, כאן, כאן.
 
NORDVPN



 
 
Bookmark and Share