Sliman Khader/FLASH90

התרעה דחופה: קבוצת תקיפה איראנית מימשה קמפיין דיוג ממוקד; כך תתגוננו

מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית הכוללת הודעת דוא"ל מתחזה שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע • כך תצליחו להתגונן

כתבות נוספות בנושא:

מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית הכוללת הודעת דוא"ל מתחזה שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע. מחקר של המערך בשיתוף חברה מסחרית מצא כי מאחורי ניסיון זה עומדת קבוצת תקיפה איראנית.

הודעת הדיוג מתחזה לחברת F5 המספקת מוצרי אבטחה לארגונים רבים. בהודעה נטען כי קיים עדכון אבטחה קריטי לתוכנה המחייב הורדת תוכנה מקישור מצורף. המערך מצא כי למימוש מתקפה זו נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לשליחת ההודעה. יעד זה נבחר במטרה לנסות להביא להטעמת התוכנה הזדונית בכלל שרתי הארגון. הקישור המתחזה מכיל שני קבצים זדוניים שהורדתם מפעילה כלי שאוסף מידע מהמערכת וכלי שמוחק את כלל המידע שברשת הארגונית (Wiper).

המתקפה משתמשת בכתובת דוא"ל עם סיומת הנראית במבט ראשון של F5 וכן מנצלת התרעה קודמת של החברה אודות הצורך להוריד ולהריץ קובץ מסוים כדי להגן על המערכת. במטרה לנסות לשכנע את הנמענים, אף צורפו להודעה המתחזה כתובות ה-IP החיצוניות של ציוד F5 אשר בבעלות הארגון.

בהתרעה שהוציא המערך לארגונים, מפורטים המחקר על הכלי הזדוני, הדרכים לזהות את המתקפה והמזהים לחסימתה במערכות הארגון. המערך קורא לארגונים לנקוט בצעדים לחסימת המתקפה מבעוד מועד, לדווח על הודעות דומות ולהימנע מלחיצה על קישורים לפני בדיקתם.

פרטים

  1. במהלך חודש דצמבר התקבלו במערך הסייבר הלאומי דיווחים על אודות קמפיין דיוג המזוהה במרחב ומתחזה לחברת F5.
  2. מערך הסייבר הלאומי משייך את קמפיין הדיוג לקבוצת תקיפה איראנית.
  3. ניתן להבחין כי במסגרת קמפיין זה נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה, הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לתקיפה.
  4. מטרת הקמפיין – מימוש תקיפות הרס (CNA) וכן איסוף מידע (CNE) למול יעדים במשק הישראלי.
  5. הקמפיין זוהה בשתי פעימות שונות המכילות קישור להורדת קובץ, אשר מוריד פוגענים מסוג Wiper ו–Infostealer לעמדת המשתמש.
  6. עדכון זה כולל מחקר על כלי ה- Infostealer אשר מטרתו איסוף מידע על נתקפים.
  7. ניתוח טכני
    1. התקיפה מנצלת את העובדה שבמסגרת טיפול בהתרעה קריטית שפרסמה חברת F5 בסוף אוקטובר 2023, החברה ציינה כאחת מדרכי ההתמודדות את האפשרות להוריד ולהריץ קובץ Shell Script על הציוד מתוצרתה.
    2. הודעת הדיוג נשלחת מכתובת הדוא"ל [email protected].
      1. תשומת לב כי כתובת הדוא"ל הנכונה של צוות ה-SIRT של 5F היא [email protected].
      2. טקסט ההודעה מצורף להתרעה זו כקובץ PNG.
    3. ההודעה המצורפת מבקשת מן המשתמש להוריד ולהריץ קובץ, על מנת לטפל בפגיעות קריטית שכביכול כבר נוצלה לתקיפת ציוד 5F שבשימוש הארגון.
    4. על מנת לשכנע את הנמענים, קבוצת התקיפה צירפה את כתובות ה-IP החיצוניות של ציוד 5F אשר בבעלות הארגון.
    5. התוקף מכווין את הנמען להריץ קובץ מסוג Wiper שהורד מהקישורים המצורפים לפניה, על שרתי Windows ו-Linux ברשת הארגונית.
      1. Windows – הקישור הראשון הוא קובץ Zip בשם update.zip המכיל את הקובץ f5updater.exe המיועד לשרתי Windows. קובץ זה נכתב על תשתית .NET ומכיל בתוכו קובץ דריסה בשם hatef.exe.
        1. גודלו של קובץ ה-f5updater – כ-1MB.
        2. הקובץ מופעל בזמן הרצת קובץ ה-f5updater.
        3. ה-Script ירוץ בהצלחה תחת הרשאות Local Admin בלבד.
      2. Linux – הקישור השני מוביל להורדת Script Bash בשם update.sh. ה- Script מיועד למחיקת השרתים עליהם הוא מורץ.
        1. גודלו של קובץ ה-Script – כ-80KB.
        2. ה- Script ירוץ בהצלחה תחת הרשאות Root בלבד.
    6. בהודעת המייל מהתוקף נכתב כי נדרשות הרשאות מנהלן להרצת הפוגען על עמדת הנתקף.
    7. לפוגענים אין יכולת מובנית להתפשטות ברשת. קבוצת התקיפה מסתמכת על כך שהמשתמש יעתיק ויריץ את הקבצים בכלל השרתים השונים ברשת הארגון.
    8. הקמפיין פעל בשתי פעימות שונות אשר נשלחו בטווח זמנים של 72 שעות.
    9. הפעימה הראשונה כללה קבצי Wiper בלבד.
    10. בפעימה השנייה, בנוסף לקבצי Wiper, בתוך קובץ ה-f5updater קיים גם קובץ Infostealer המיועד לשרתי Windows.
      1. גודלו של קובץ ה-f5updater – כ-3MB.
      2. קובץ ה-Infostealer נקרא handala.exe. מדובר בוריאנט של Infostealer שמוכר בשם Rhadamanthys.
      3. הקובץ כתוב בשפת Delphi.
      4. בכלי קיימת לוגיקה המזהה נוכחות של AV ומנסה להשבית את השירות כדי למנוע פגיעה בהרצת התוכנה.
      5. אחת מהפונקציות של כלי זה הכילה מחרוזות שקודדו באמצעות ROT13; המחרוזות מרכיבות Script Obfuscated. בעת פיענוח המחרוזות, נמצא כי הכלי מבצע drop למספר קבצים נוספים לתיקיה חדשה אשר הוא מייצר, בשם %temp%.
      6. אחד מקבצים אלה הוא Script Obfuscated שמטרתו לבצע שרשור (concatenation) של הקבצים האחרים לשני קבצים חדשים – autoit3.exe ו-k, ולהריץ אותם.
      7. הקובץ k הינו Script הרצה obfuscated הכתוב בשפת AutoIt. קובץ זה מורץ על ידי autoit3.exe, שהוא autoit interpreter.
      8. נכון לפרסום מסמך זה, חקירת ה-Infostealer נמשכת.
  8. הערות
    1. ראוי לציין כי עבור התקיפות שדווחו עד כה, מזהי הקבצים שונים עבור נתקפים שונים, וכך גם ה-URL להורדתם, עובדה שתקשה על זיהוי תקיפות נוספות. יש להתייחס למתווה התקיפה ולהקפיד לא להפעיל קישורים דומים לו.
    2. בעת הרצת הקובץ, מוצגת למשתמש חלונית המדווחת על ביצוע עדכון לציוד ה-F5 שברשות הארגון.
    3. כחלק מפעולתם, הפוגענים מעלים לערוץ Telegram של התוקף פרטים על השרת הנתקף.
    4. השימוש בשפות Delphi ו-Autoit איננו נפוץ כלל ומעיד על נסיון מתוחכם למנוע ממערכות הגנה מסוג EDR לזהות פעילות זדונית במחשב.
    5. ראו התרעת מערך הסייבר הלאומי הקודמת בנדון בקישור מס' 1 בסעיף "מקורות" להלן. בקישור מס' 2 ראו התרעת המערך לאירוע בו פרסמה חברת 5F Script כחלק ממתן מענה לפגיעות, ואת התרעת חברת F5 עצמה בנוגע לאותה פגיעות בקישור מס' 3 להלן. בקישור הנ"ל ניתן למצוא את ה- Script המדובר, כחלק מטקסט ההתרעה של 5F.

דרכי התמודדות

  1. להתרעה זו מצורף קובץ מזהים. מומלץ מאד לחסום את מזהי התקשורת (כתובת דוא"ל של השולח והדומיין שלה) ואת מזהי הקבצים בכל מערכות האבטחה הארגוניות הרלוונטיות כגון SIEM, מערכות סינון דוא"ל, מערכות סינון להורדת קבצים, AV, EDR וכד'.
  2. נא עדכנו את מערך הסייבר הלאומי אם מצאתם אחד או יותר ממזהים אלו במערכותיכם.

מצאתם טעות בכתבה? דווחו לנו >

כתבות חדשות באתר

"אבוי לעט שנצרך לכתוב כאלו דברים": עמוד ההוראה במכתב נדיר לעצירת המחלה הנוראה
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
ההישג הגדול ביותר של הציבור החרדי? זו המשמעות האמיתית של חוק יסוד: לימוד תורה
על רקע התקיפות של איראן בירדן: רוביו נפגש עם שר החוץ הירדני
הישג ענק: לאומית שירותי בריאות דורגה במקום הראשון במידרג קופות החולים
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
חייל צילם יירוטים וזירות נפילה עבור איראן; זה גזר הדין שניתן לו
לוחמי דובדבן עצרו שני מחבלים שייצרו מטענים; סוחר נשק נוסף נתפס
בזמן שמחירי המשלוחים עולים ברשתות השיווק, יש מי ששומרים על המחיר
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
טרגדיה בשארם א-שייח': פעוטה ישראלית טבעה למוות בבריכה
טראמפ דן בהעמקת הפגיעה בטהרן; איים בפגיעה בתשתיות אסטרטגיות
מודיעין עילית: הסתיימו ימי השבעה – שמונה יתומים שבו לבית ריק
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
איראן שיגרה טילים לעבר בחריין וירדן; צבא ירדן: יירטנו 3 טילים איראניים
פיגוע טרור בשומרון: מחבלים יידו אבנים על רכב ופצעו יהודייה בת 62

הכתבות המעניינות ביותר

עשרות מנהלי סמינרים יתכנסו ליום העיון השנתי שע"י איגוד הסמינרים בא"י
הסרת חרפת המעצרים מעל בני הישיבות; גלריית כנסת מורחבת
שבת באשדוד (או: איך פספסתי 2 מיליון ש"ח) / טור נדל"ן
נס: שב"ח שתכנן פיגוע ניסה להיכנס לישראל כשהוא מסתתר בתא מטען
הרמב”ם היומי • הלכות חמץ ומצה פרק ו׳ • צפו
הרמב”ם היומי • הלכות חמץ ומצה פרק ו׳ • צפו
השיעור היומי: הרב דוד חבושה • צפו
השיעור היומי: הרב דוד חבושה • צפו
וַיְהִי בֹקֶר יוֹם רְבִיעִי • כותרות העיתונים – א' באב ה'תשפ"ו
וַיְהִי בֹקֶר יוֹם רְבִיעִי • כותרות העיתונים – א' באב ה'תשפ"ו
עפולה: המלמד האהוב נפטר בפתאומיות והותיר 9 יתומים
רפורמת הכשרות של כהנא - בוטלה, מלכיאלי מחזק את הרבנות הראשית
וואטסאפ

חדש באתר

.
ההישג הגדול ביותר של הציבור החרדי? זו המשמעות האמיתית של חוק יסוד: לימוד תורה
WhatsApp Image 2026-07-15 at 10.52
על רקע התקיפות של איראן בירדן: רוביו נפגש עם שר החוץ הירדני
MIDEAST ISRAEL IRAN
חייל צילם יירוטים וזירות נפילה עבור איראן; זה גזר הדין שניתן לו
WhatsApp Image 2026-07-15 at 10.23
עשרות מנהלי סמינרים יתכנסו ליום העיון השנתי שע"י איגוד הסמינרים בא"י

המיוחדים

קיפקעס | מי יקח קרדיט אחרי הכישלון ומי נעדר מהמחאה?
קיפקעס | מי יקח קרדיט אחרי הכישלון ומי נעדר מהמחאה?
צילום מסך 2026-06-18 022446
הרבי מליובאוויטש עצר אותי ושאל שאלה ששינתה את חיי | ראיון מרתק
WhatsApp Image 2026-06-11 at 09.35
בוגרת הפרקליטות יוצאת למלחמה: "המדינה מענישה נשים חרדיות בגלל בעליהן"
WhatsApp Image 2026-06-08 at 10.08
רעידת אדמה משפטית: בוגרת הפרקליטות יוצאת למאבק נגד סנקציות הדיור - ומאיימת בבג"ץ

גלריות

.
הסרת חרפת המעצרים מעל בני הישיבות; גלריית כנסת מורחבת
בר מצוה לנכד האדמו''ר מביאלא ישרי לב צילום יוסי לוי (11)
שמחת הבר מצוה לנכד האדמו"ר מביאלא ישרי לב
שמחת האירוסיו בבית נאדבורנא באניא- סערדעהלי צילום שימי פ
שמחת האירוסין בבית נאדבורנא באניא - סערדעהלי
י''א חודש עצרת מספד ראש הישיבה בעל הברכת כהן בהיכל ישיבתו במודיעין עילית (17)
במלואת י"א חודש להסתלקותו: עצרת מספד על מרן ראש הישיבה בעל ה'ברכת כהן' זצוק"ל

עיתוני היום

וַיְהִי בֹקֶר יוֹם רְבִיעִי • כותרות העיתונים – א' באב ה'תשפ"ו
וַיְהִי בֹקֶר יוֹם רְבִיעִי • כותרות העיתונים – א' באב ה'תשפ"ו

התחברות למשתמש פרימיום

ברוכים הבאים!

לגלישה באתר נקי מפרסומות קופצות ובאנרים, היכנסו באמצעות חשבון הגוגל שלכם.

דיווח על סרטון

מה ברצונך למצוא?

יש לך משהו דחוף לומר לנו?

הדואר
האדום

צירוף קובץ עד גודל של 5 מגה
Hide picture