Sliman Khader/FLASH90

התרעה דחופה: קבוצת תקיפה איראנית מימשה קמפיין דיוג ממוקד; כך תתגוננו

מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית הכוללת הודעת דוא"ל מתחזה שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע • כך תצליחו להתגונן

כתבות נוספות בנושא:

מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית הכוללת הודעת דוא"ל מתחזה שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע. מחקר של המערך בשיתוף חברה מסחרית מצא כי מאחורי ניסיון זה עומדת קבוצת תקיפה איראנית.

הודעת הדיוג מתחזה לחברת F5 המספקת מוצרי אבטחה לארגונים רבים. בהודעה נטען כי קיים עדכון אבטחה קריטי לתוכנה המחייב הורדת תוכנה מקישור מצורף. המערך מצא כי למימוש מתקפה זו נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לשליחת ההודעה. יעד זה נבחר במטרה לנסות להביא להטעמת התוכנה הזדונית בכלל שרתי הארגון. הקישור המתחזה מכיל שני קבצים זדוניים שהורדתם מפעילה כלי שאוסף מידע מהמערכת וכלי שמוחק את כלל המידע שברשת הארגונית (Wiper).

המתקפה משתמשת בכתובת דוא"ל עם סיומת הנראית במבט ראשון של F5 וכן מנצלת התרעה קודמת של החברה אודות הצורך להוריד ולהריץ קובץ מסוים כדי להגן על המערכת. במטרה לנסות לשכנע את הנמענים, אף צורפו להודעה המתחזה כתובות ה-IP החיצוניות של ציוד F5 אשר בבעלות הארגון.

בהתרעה שהוציא המערך לארגונים, מפורטים המחקר על הכלי הזדוני, הדרכים לזהות את המתקפה והמזהים לחסימתה במערכות הארגון. המערך קורא לארגונים לנקוט בצעדים לחסימת המתקפה מבעוד מועד, לדווח על הודעות דומות ולהימנע מלחיצה על קישורים לפני בדיקתם.

פרטים

  1. במהלך חודש דצמבר התקבלו במערך הסייבר הלאומי דיווחים על אודות קמפיין דיוג המזוהה במרחב ומתחזה לחברת F5.
  2. מערך הסייבר הלאומי משייך את קמפיין הדיוג לקבוצת תקיפה איראנית.
  3. ניתן להבחין כי במסגרת קמפיין זה נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה, הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לתקיפה.
  4. מטרת הקמפיין – מימוש תקיפות הרס (CNA) וכן איסוף מידע (CNE) למול יעדים במשק הישראלי.
  5. הקמפיין זוהה בשתי פעימות שונות המכילות קישור להורדת קובץ, אשר מוריד פוגענים מסוג Wiper ו–Infostealer לעמדת המשתמש.
  6. עדכון זה כולל מחקר על כלי ה- Infostealer אשר מטרתו איסוף מידע על נתקפים.
  7. ניתוח טכני
    1. התקיפה מנצלת את העובדה שבמסגרת טיפול בהתרעה קריטית שפרסמה חברת F5 בסוף אוקטובר 2023, החברה ציינה כאחת מדרכי ההתמודדות את האפשרות להוריד ולהריץ קובץ Shell Script על הציוד מתוצרתה.
    2. הודעת הדיוג נשלחת מכתובת הדוא"ל [email protected].
      1. תשומת לב כי כתובת הדוא"ל הנכונה של צוות ה-SIRT של 5F היא [email protected].
      2. טקסט ההודעה מצורף להתרעה זו כקובץ PNG.
    3. ההודעה המצורפת מבקשת מן המשתמש להוריד ולהריץ קובץ, על מנת לטפל בפגיעות קריטית שכביכול כבר נוצלה לתקיפת ציוד 5F שבשימוש הארגון.
    4. על מנת לשכנע את הנמענים, קבוצת התקיפה צירפה את כתובות ה-IP החיצוניות של ציוד 5F אשר בבעלות הארגון.
    5. התוקף מכווין את הנמען להריץ קובץ מסוג Wiper שהורד מהקישורים המצורפים לפניה, על שרתי Windows ו-Linux ברשת הארגונית.
      1. Windows – הקישור הראשון הוא קובץ Zip בשם update.zip המכיל את הקובץ f5updater.exe המיועד לשרתי Windows. קובץ זה נכתב על תשתית .NET ומכיל בתוכו קובץ דריסה בשם hatef.exe.
        1. גודלו של קובץ ה-f5updater – כ-1MB.
        2. הקובץ מופעל בזמן הרצת קובץ ה-f5updater.
        3. ה-Script ירוץ בהצלחה תחת הרשאות Local Admin בלבד.
      2. Linux – הקישור השני מוביל להורדת Script Bash בשם update.sh. ה- Script מיועד למחיקת השרתים עליהם הוא מורץ.
        1. גודלו של קובץ ה-Script – כ-80KB.
        2. ה- Script ירוץ בהצלחה תחת הרשאות Root בלבד.
    6. בהודעת המייל מהתוקף נכתב כי נדרשות הרשאות מנהלן להרצת הפוגען על עמדת הנתקף.
    7. לפוגענים אין יכולת מובנית להתפשטות ברשת. קבוצת התקיפה מסתמכת על כך שהמשתמש יעתיק ויריץ את הקבצים בכלל השרתים השונים ברשת הארגון.
    8. הקמפיין פעל בשתי פעימות שונות אשר נשלחו בטווח זמנים של 72 שעות.
    9. הפעימה הראשונה כללה קבצי Wiper בלבד.
    10. בפעימה השנייה, בנוסף לקבצי Wiper, בתוך קובץ ה-f5updater קיים גם קובץ Infostealer המיועד לשרתי Windows.
      1. גודלו של קובץ ה-f5updater – כ-3MB.
      2. קובץ ה-Infostealer נקרא handala.exe. מדובר בוריאנט של Infostealer שמוכר בשם Rhadamanthys.
      3. הקובץ כתוב בשפת Delphi.
      4. בכלי קיימת לוגיקה המזהה נוכחות של AV ומנסה להשבית את השירות כדי למנוע פגיעה בהרצת התוכנה.
      5. אחת מהפונקציות של כלי זה הכילה מחרוזות שקודדו באמצעות ROT13; המחרוזות מרכיבות Script Obfuscated. בעת פיענוח המחרוזות, נמצא כי הכלי מבצע drop למספר קבצים נוספים לתיקיה חדשה אשר הוא מייצר, בשם %temp%.
      6. אחד מקבצים אלה הוא Script Obfuscated שמטרתו לבצע שרשור (concatenation) של הקבצים האחרים לשני קבצים חדשים – autoit3.exe ו-k, ולהריץ אותם.
      7. הקובץ k הינו Script הרצה obfuscated הכתוב בשפת AutoIt. קובץ זה מורץ על ידי autoit3.exe, שהוא autoit interpreter.
      8. נכון לפרסום מסמך זה, חקירת ה-Infostealer נמשכת.
  8. הערות
    1. ראוי לציין כי עבור התקיפות שדווחו עד כה, מזהי הקבצים שונים עבור נתקפים שונים, וכך גם ה-URL להורדתם, עובדה שתקשה על זיהוי תקיפות נוספות. יש להתייחס למתווה התקיפה ולהקפיד לא להפעיל קישורים דומים לו.
    2. בעת הרצת הקובץ, מוצגת למשתמש חלונית המדווחת על ביצוע עדכון לציוד ה-F5 שברשות הארגון.
    3. כחלק מפעולתם, הפוגענים מעלים לערוץ Telegram של התוקף פרטים על השרת הנתקף.
    4. השימוש בשפות Delphi ו-Autoit איננו נפוץ כלל ומעיד על נסיון מתוחכם למנוע ממערכות הגנה מסוג EDR לזהות פעילות זדונית במחשב.
    5. ראו התרעת מערך הסייבר הלאומי הקודמת בנדון בקישור מס' 1 בסעיף "מקורות" להלן. בקישור מס' 2 ראו התרעת המערך לאירוע בו פרסמה חברת 5F Script כחלק ממתן מענה לפגיעות, ואת התרעת חברת F5 עצמה בנוגע לאותה פגיעות בקישור מס' 3 להלן. בקישור הנ"ל ניתן למצוא את ה- Script המדובר, כחלק מטקסט ההתרעה של 5F.

דרכי התמודדות

  1. להתרעה זו מצורף קובץ מזהים. מומלץ מאד לחסום את מזהי התקשורת (כתובת דוא"ל של השולח והדומיין שלה) ואת מזהי הקבצים בכל מערכות האבטחה הארגוניות הרלוונטיות כגון SIEM, מערכות סינון דוא"ל, מערכות סינון להורדת קבצים, AV, EDR וכד'.
  2. נא עדכנו את מערך הסייבר הלאומי אם מצאתם אחד או יותר ממזהים אלו במערכותיכם.

מצאתם טעות בכתבה? דווחו לנו >

כתבות חדשות באתר

"אבא שלי שקוף?", שאל הילד הקטן – והנוכחים פרצו בבכי מר
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
ארה"ב הולמת באיראן: מתקפה רחבת היקף של צבא ארה"ב להשמדת מטרות
מעל, מתחת - ומתוך הבופור. סיקור מיוחד ממרכז העצבים של חיזבאללה
המחלה התגלתה במהלך חתונת הבן: הרב יעקב בן שלמה ז"ל הותיר שבעה יתומים
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
אסון בתאילנד: עשרות הרוגים בשריפת מתחם בילוי; זק"א במעקב אחר הישראלים
המבצע הבינלאומי: משלחת פיקוד העורף מובילה את תוכנית השיקום הלאומית בוונצואלה
מרן פוסק הדור בירך: "ברכה רבה מאת הקב"ה"
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
טרור ההרעלות מכה שוב: הכלבים פרכסו ומתו תוך דקות. ארוע הרעלה קשה בשומרון
פגישה ראשונה מאז המינוי: ראש השב"כ דוד זיני קיים סקירה ביטחונית לראש האופוזיציה לפיד
איש של אנשים: הסיפור מאחורי הלב הפועם של מלון נוף כינרת
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
צה"ל השמיד אתר ייצור אמל"ח של חמאס בעיר עזה בעת שפעלו בו מחבלים
בשורות טובות: בחסדי השי"ת נמצא האברך תושב בית שמש כשהוא בריא ושלם

הכתבות המעניינות ביותר

עתירה דחופה לבג"ץ: דרישה לביטול ההקפאה המנהלית המפלה של הטבות המס לתורמים (סעיף 46)
סערה בערד: בית הדין מאיים להתיר פנייה לרשויות נגד בעלי המשפחתונים שקיצרו שעות
התרחבות היסטורית בישיבה גדולה של מוסקבה לצד חגיגת סמיכה מרגשת
תקרית אנטישמית בווילנה: פעיל רשת ירק על חרדים וקרא להם לעזוב את ליטא
הכוכב במשקל 2,200 ק"ג: כלב הים הפך לאזרח בטסמניה ומעורר דאגה
צה"ל חיסל שני מחבלי חמאס שקידמו מתווי טרור בצפון רצועת עזה
טלטלה בקייב: זלנסקי הודיע על החלפת ראשת הממשלה
אסון בווייטנאם: 15 תיירים הודים נהרגו בהתהפכות סירה טיולית
נקבע תאריך רשמי: הבחירות לכנסת יתקיימו ב-27 באוקטובר 2026
וואטסאפ

חדש באתר

260521-F-WH833-1001
ארה"ב הולמת באיראן: מתקפה רחבת היקף של צבא ארה"ב להשמדת מטרות
c3d758f1-ac61-4bb2-9f98-b648953ec344
מעל, מתחת - ומתוך הבופור. סיקור מיוחד ממרכז העצבים של חיזבאללה
WhatsApp Video 2026-07-12 at 23.00
אסון בתאילנד: עשרות הרוגים בשריפת מתחם בילוי; זק"א במעקב אחר הישראלים
edcd7540-36e7-45ca-8ec6-f56546141be5-compressed
המבצע הבינלאומי: משלחת פיקוד העורף מובילה את תוכנית השיקום הלאומית בוונצואלה

המיוחדים

קיפקעס | מי יקח קרדיט אחרי הכישלון ומי נעדר מהמחאה?
קיפקעס | מי יקח קרדיט אחרי הכישלון ומי נעדר מהמחאה?
צילום מסך 2026-06-18 022446
הרבי מליובאוויטש עצר אותי ושאל שאלה ששינתה את חיי | ראיון מרתק
WhatsApp Image 2026-06-11 at 09.35
בוגרת הפרקליטות יוצאת למלחמה: "המדינה מענישה נשים חרדיות בגלל בעליהן"
WhatsApp Image 2026-06-08 at 10.08
רעידת אדמה משפטית: בוגרת הפרקליטות יוצאת למאבק נגד סנקציות הדיור - ומאיימת בבג"ץ

גלריות

כנס הכנה מרכזי לקראת הפרק החדש בישיבה גדולה צילום יעקב כהן (19)
מאות בני ישיבות בבית שמש התכנסו למעמד הכנה • גלריה
בר המצווה לבן נציג 'דגל התורה' בקריית אתא הרב אלקנה ויסנשטרן צילום שמואל שנקר (21)
שמחת בר המצווה לבנו של נציג 'דגל התורה' בקריית אתא
התרחבות היסטורית בישיבה גדולה של מוסקבה לצד חגיגת סמיכה מרגשת (71)
התרחבות היסטורית בישיבה גדולה של מוסקבה לצד חגיגת סמיכה מרגשת
הגרי''מ ארלנגר שליט''א בהילולת הרמ''ק בצפת (5)
הרה"צ יצחק משה ארלנגר בהילולת הרמ"ק בעיה"ק צפת

עיתוני היום

וַיְהִי בֹקֶר יוֹם אֶחָד • כותרות העיתונים – כ"ז בתמוז ה’תשפ”ו
וַיְהִי בֹקֶר יוֹם אֶחָד • כותרות העיתונים – כ"ז בתמוז ה’תשפ”ו

התחברות למשתמש פרימיום

ברוכים הבאים!

לגלישה באתר נקי מפרסומות קופצות ובאנרים, היכנסו באמצעות חשבון הגוגל שלכם.

דיווח על סרטון

מה ברצונך למצוא?

יש לך משהו דחוף לומר לנו?

הדואר
האדום

צירוף קובץ עד גודל של 5 מגה
Hide picture