Sliman Khader/FLASH90

התרעה דחופה: קבוצת תקיפה איראנית מימשה קמפיין דיוג ממוקד; כך תתגוננו

מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית הכוללת הודעת דוא"ל מתחזה שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע • כך תצליחו להתגונן

כתבות נוספות בנושא:

מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית הכוללת הודעת דוא"ל מתחזה שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע. מחקר של המערך בשיתוף חברה מסחרית מצא כי מאחורי ניסיון זה עומדת קבוצת תקיפה איראנית.

הודעת הדיוג מתחזה לחברת F5 המספקת מוצרי אבטחה לארגונים רבים. בהודעה נטען כי קיים עדכון אבטחה קריטי לתוכנה המחייב הורדת תוכנה מקישור מצורף. המערך מצא כי למימוש מתקפה זו נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לשליחת ההודעה. יעד זה נבחר במטרה לנסות להביא להטעמת התוכנה הזדונית בכלל שרתי הארגון. הקישור המתחזה מכיל שני קבצים זדוניים שהורדתם מפעילה כלי שאוסף מידע מהמערכת וכלי שמוחק את כלל המידע שברשת הארגונית (Wiper).

המתקפה משתמשת בכתובת דוא"ל עם סיומת הנראית במבט ראשון של F5 וכן מנצלת התרעה קודמת של החברה אודות הצורך להוריד ולהריץ קובץ מסוים כדי להגן על המערכת. במטרה לנסות לשכנע את הנמענים, אף צורפו להודעה המתחזה כתובות ה-IP החיצוניות של ציוד F5 אשר בבעלות הארגון.

בהתרעה שהוציא המערך לארגונים, מפורטים המחקר על הכלי הזדוני, הדרכים לזהות את המתקפה והמזהים לחסימתה במערכות הארגון. המערך קורא לארגונים לנקוט בצעדים לחסימת המתקפה מבעוד מועד, לדווח על הודעות דומות ולהימנע מלחיצה על קישורים לפני בדיקתם.

פרטים

  1. במהלך חודש דצמבר התקבלו במערך הסייבר הלאומי דיווחים על אודות קמפיין דיוג המזוהה במרחב ומתחזה לחברת F5.
  2. מערך הסייבר הלאומי משייך את קמפיין הדיוג לקבוצת תקיפה איראנית.
  3. ניתן להבחין כי במסגרת קמפיין זה נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה, הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לתקיפה.
  4. מטרת הקמפיין – מימוש תקיפות הרס (CNA) וכן איסוף מידע (CNE) למול יעדים במשק הישראלי.
  5. הקמפיין זוהה בשתי פעימות שונות המכילות קישור להורדת קובץ, אשר מוריד פוגענים מסוג Wiper ו–Infostealer לעמדת המשתמש.
  6. עדכון זה כולל מחקר על כלי ה- Infostealer אשר מטרתו איסוף מידע על נתקפים.
  7. ניתוח טכני
    1. התקיפה מנצלת את העובדה שבמסגרת טיפול בהתרעה קריטית שפרסמה חברת F5 בסוף אוקטובר 2023, החברה ציינה כאחת מדרכי ההתמודדות את האפשרות להוריד ולהריץ קובץ Shell Script על הציוד מתוצרתה.
    2. הודעת הדיוג נשלחת מכתובת הדוא"ל [email protected].
      1. תשומת לב כי כתובת הדוא"ל הנכונה של צוות ה-SIRT של 5F היא [email protected].
      2. טקסט ההודעה מצורף להתרעה זו כקובץ PNG.
    3. ההודעה המצורפת מבקשת מן המשתמש להוריד ולהריץ קובץ, על מנת לטפל בפגיעות קריטית שכביכול כבר נוצלה לתקיפת ציוד 5F שבשימוש הארגון.
    4. על מנת לשכנע את הנמענים, קבוצת התקיפה צירפה את כתובות ה-IP החיצוניות של ציוד 5F אשר בבעלות הארגון.
    5. התוקף מכווין את הנמען להריץ קובץ מסוג Wiper שהורד מהקישורים המצורפים לפניה, על שרתי Windows ו-Linux ברשת הארגונית.
      1. Windows – הקישור הראשון הוא קובץ Zip בשם update.zip המכיל את הקובץ f5updater.exe המיועד לשרתי Windows. קובץ זה נכתב על תשתית .NET ומכיל בתוכו קובץ דריסה בשם hatef.exe.
        1. גודלו של קובץ ה-f5updater – כ-1MB.
        2. הקובץ מופעל בזמן הרצת קובץ ה-f5updater.
        3. ה-Script ירוץ בהצלחה תחת הרשאות Local Admin בלבד.
      2. Linux – הקישור השני מוביל להורדת Script Bash בשם update.sh. ה- Script מיועד למחיקת השרתים עליהם הוא מורץ.
        1. גודלו של קובץ ה-Script – כ-80KB.
        2. ה- Script ירוץ בהצלחה תחת הרשאות Root בלבד.
    6. בהודעת המייל מהתוקף נכתב כי נדרשות הרשאות מנהלן להרצת הפוגען על עמדת הנתקף.
    7. לפוגענים אין יכולת מובנית להתפשטות ברשת. קבוצת התקיפה מסתמכת על כך שהמשתמש יעתיק ויריץ את הקבצים בכלל השרתים השונים ברשת הארגון.
    8. הקמפיין פעל בשתי פעימות שונות אשר נשלחו בטווח זמנים של 72 שעות.
    9. הפעימה הראשונה כללה קבצי Wiper בלבד.
    10. בפעימה השנייה, בנוסף לקבצי Wiper, בתוך קובץ ה-f5updater קיים גם קובץ Infostealer המיועד לשרתי Windows.
      1. גודלו של קובץ ה-f5updater – כ-3MB.
      2. קובץ ה-Infostealer נקרא handala.exe. מדובר בוריאנט של Infostealer שמוכר בשם Rhadamanthys.
      3. הקובץ כתוב בשפת Delphi.
      4. בכלי קיימת לוגיקה המזהה נוכחות של AV ומנסה להשבית את השירות כדי למנוע פגיעה בהרצת התוכנה.
      5. אחת מהפונקציות של כלי זה הכילה מחרוזות שקודדו באמצעות ROT13; המחרוזות מרכיבות Script Obfuscated. בעת פיענוח המחרוזות, נמצא כי הכלי מבצע drop למספר קבצים נוספים לתיקיה חדשה אשר הוא מייצר, בשם %temp%.
      6. אחד מקבצים אלה הוא Script Obfuscated שמטרתו לבצע שרשור (concatenation) של הקבצים האחרים לשני קבצים חדשים – autoit3.exe ו-k, ולהריץ אותם.
      7. הקובץ k הינו Script הרצה obfuscated הכתוב בשפת AutoIt. קובץ זה מורץ על ידי autoit3.exe, שהוא autoit interpreter.
      8. נכון לפרסום מסמך זה, חקירת ה-Infostealer נמשכת.
  8. הערות
    1. ראוי לציין כי עבור התקיפות שדווחו עד כה, מזהי הקבצים שונים עבור נתקפים שונים, וכך גם ה-URL להורדתם, עובדה שתקשה על זיהוי תקיפות נוספות. יש להתייחס למתווה התקיפה ולהקפיד לא להפעיל קישורים דומים לו.
    2. בעת הרצת הקובץ, מוצגת למשתמש חלונית המדווחת על ביצוע עדכון לציוד ה-F5 שברשות הארגון.
    3. כחלק מפעולתם, הפוגענים מעלים לערוץ Telegram של התוקף פרטים על השרת הנתקף.
    4. השימוש בשפות Delphi ו-Autoit איננו נפוץ כלל ומעיד על נסיון מתוחכם למנוע ממערכות הגנה מסוג EDR לזהות פעילות זדונית במחשב.
    5. ראו התרעת מערך הסייבר הלאומי הקודמת בנדון בקישור מס' 1 בסעיף "מקורות" להלן. בקישור מס' 2 ראו התרעת המערך לאירוע בו פרסמה חברת 5F Script כחלק ממתן מענה לפגיעות, ואת התרעת חברת F5 עצמה בנוגע לאותה פגיעות בקישור מס' 3 להלן. בקישור הנ"ל ניתן למצוא את ה- Script המדובר, כחלק מטקסט ההתרעה של 5F.

דרכי התמודדות

  1. להתרעה זו מצורף קובץ מזהים. מומלץ מאד לחסום את מזהי התקשורת (כתובת דוא"ל של השולח והדומיין שלה) ואת מזהי הקבצים בכל מערכות האבטחה הארגוניות הרלוונטיות כגון SIEM, מערכות סינון דוא"ל, מערכות סינון להורדת קבצים, AV, EDR וכד'.
  2. נא עדכנו את מערך הסייבר הלאומי אם מצאתם אחד או יותר ממזהים אלו במערכותיכם.

מצאתם טעות בכתבה? דווחו לנו >

כתבות חדשות באתר

מרן פוסק הדור בירך: "ברכה רבה מאת הקב"ה"
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
פיקוד המרכז של ארה"ב: החל גל התקיפות השלישי על אדמת איראן
הקרב על חוק היסוד עובר לבג"ץ: חגיגות בקואליציה לצד דרישה להקפאה מיידית
בשעות הקרובות: ההזדמנות שלכם לישועה במעמד נורא הוד בבית האשה השונמית
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
ח"כ בן צור: "לומדי התורה אינם נטל, הם חומת המגן הרוחנית של ישראל"
בכורה מבצעית: ארה"ב תקפה בסיס ימי באיראן באמצעות כטב"מים וכלי שיט בלתי מאוישים
"אבוי לעט שנצרך לכתוב כאלו דברים": עמוד ההוראה במכתב נדיר לעצירת המחלה הנוראה
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
חוק יסוד לימוד תורה אושר סופית במליאת הכנסת ברוב של 63 תומכים
ארה"ב בהודעה רשמית: מחר בערב מתחדש המצור הימי על נמלי איראן
פתרון הדיור החרדי: החכמים מזהים את ההזדמנות במערב קריית גת
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
בתגובה לתקיפה בצנעא. החות'ים שיגרו טילים לעבר דרום סעודיה, טיסות בוטלו
מהלך היסטורי בשומרון: הסכם הגג הראשון בישראל עם מועצה אזורית שומרון יוצא לדרך

הכתבות המעניינות ביותר

הברכה הנדירה 'שחלק מחכמתו ליראיו' שפרצה בבת אחת מפי עשרות הבחורים בחדרו של פוסק הדור • תיעוד
ח"כ פרוש: אתם לא מצביעים נגד הקואליציה, אתם מצביעים נגד התורה הקדושה"
ח"כ מרגי: "מבקש סליחה בשם הכנסת מחיילי צה"ל שנושאים את שמכם לשווא"
הלב ששב לפעום בלב' בעומר: מתנדבי איחוד הצלה נפגשו עם האדם שהחזירו לחיים
ביסמוט בתגובה לרמטכ"ל ה'מקצועי': "העיתוי אינו מקרי, מעצרים לא מביאים לגיוס"
מיקומה האמיתי של אבן השתיה, ועוד שורה של גילויים מסעירים בספר חדש!
לרגל ההילולא: לקט דיבורים קדושים אודות מרן ה'ישמח משה' זי"ע
קריאת השכמה עולמית: זוכי פרס נובל בעולם מזהירים מהשפעת הבינה המלאכותית
הפריימריז בליכוד צפויים להידחות; נתניהו מבקש 8 שריונים
וואטסאפ

חדש באתר

HLri70iW4AAOvas-compressed
פיקוד המרכז של ארה"ב: החל גל התקיפות השלישי על אדמת איראן
.
הקרב על חוק היסוד עובר לבג"ץ: חגיגות בקואליציה לצד דרישה להקפאה מיידית
D_ST8824 (1) (1)
ח"כ בן צור: "לומדי התורה אינם נטל, הם חומת המגן הרוחנית של ישראל"
intro-1781426579
בכורה מבצעית: ארה"ב תקפה בסיס ימי באיראן באמצעות כטב"מים וכלי שיט בלתי מאוישים

המיוחדים

קיפקעס | מי יקח קרדיט אחרי הכישלון ומי נעדר מהמחאה?
קיפקעס | מי יקח קרדיט אחרי הכישלון ומי נעדר מהמחאה?
צילום מסך 2026-06-18 022446
הרבי מליובאוויטש עצר אותי ושאל שאלה ששינתה את חיי | ראיון מרתק
WhatsApp Image 2026-06-11 at 09.35
בוגרת הפרקליטות יוצאת למלחמה: "המדינה מענישה נשים חרדיות בגלל בעליהן"
WhatsApp Image 2026-06-08 at 10.08
רעידת אדמה משפטית: בוגרת הפרקליטות יוצאת למאבק נגד סנקציות הדיור - ומאיימת בבג"ץ

גלריות

בר מצוה לנכד האדמו''ר מביאלא ישרי לב צילום יוסי לוי (11)
שמחת הבר מצוה לנכד האדמו"ר מביאלא ישרי לב
שמחת האירוסיו בבית נאדבורנא באניא- סערדעהלי צילום שימי פ
שמחת האירוסין בבית נאדבורנא באניא - סערדעהלי
י''א חודש עצרת מספד ראש הישיבה בעל הברכת כהן בהיכל ישיבתו במודיעין עילית (17)
במלואת י"א חודש להסתלקותו: עצרת מספד על מרן ראש הישיבה בעל ה'ברכת כהן' זצוק"ל
רמות בירושלים סיום על ספרי חזון עובדיה (8)
הקהילה עשתה סיום על חזון עובדיה, הראשל"צ הגיע לברך • גלריה

עיתוני היום

וַיְהִי בֹקֶר יוֹם שֵׁנִי • כותרות העיתונים – כ"ח בתמוז ה'תשפ"ו
וַיְהִי בֹקֶר יוֹם שֵׁנִי • כותרות העיתונים – כ"ח בתמוז ה'תשפ"ו

התחברות למשתמש פרימיום

ברוכים הבאים!

לגלישה באתר נקי מפרסומות קופצות ובאנרים, היכנסו באמצעות חשבון הגוגל שלכם.

דיווח על סרטון

מה ברצונך למצוא?

יש לך משהו דחוף לומר לנו?

הדואר
האדום

צירוף קובץ עד גודל של 5 מגה
Hide picture