מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית הכוללת הודעת דוא"ל מתחזה שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע. מחקר של המערך בשיתוף חברה מסחרית מצא כי מאחורי ניסיון זה עומדת קבוצת תקיפה איראנית.
הודעת הדיוג מתחזה לחברת F5 המספקת מוצרי אבטחה לארגונים רבים. בהודעה נטען כי קיים עדכון אבטחה קריטי לתוכנה המחייב הורדת תוכנה מקישור מצורף. המערך מצא כי למימוש מתקפה זו נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לשליחת ההודעה. יעד זה נבחר במטרה לנסות להביא להטעמת התוכנה הזדונית בכלל שרתי הארגון. הקישור המתחזה מכיל שני קבצים זדוניים שהורדתם מפעילה כלי שאוסף מידע מהמערכת וכלי שמוחק את כלל המידע שברשת הארגונית (Wiper).
המתקפה משתמשת בכתובת דוא"ל עם סיומת הנראית במבט ראשון של F5 וכן מנצלת התרעה קודמת של החברה אודות הצורך להוריד ולהריץ קובץ מסוים כדי להגן על המערכת. במטרה לנסות לשכנע את הנמענים, אף צורפו להודעה המתחזה כתובות ה-IP החיצוניות של ציוד F5 אשר בבעלות הארגון.
בהתרעה שהוציא המערך לארגונים, מפורטים המחקר על הכלי הזדוני, הדרכים לזהות את המתקפה והמזהים לחסימתה במערכות הארגון. המערך קורא לארגונים לנקוט בצעדים לחסימת המתקפה מבעוד מועד, לדווח על הודעות דומות ולהימנע מלחיצה על קישורים לפני בדיקתם.
פרטים
- במהלך חודש דצמבר התקבלו במערך הסייבר הלאומי דיווחים על אודות קמפיין דיוג המזוהה במרחב ומתחזה לחברת F5.
- מערך הסייבר הלאומי משייך את קמפיין הדיוג לקבוצת תקיפה איראנית.
- ניתן להבחין כי במסגרת קמפיין זה נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה, הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לתקיפה.
- מטרת הקמפיין – מימוש תקיפות הרס (CNA) וכן איסוף מידע (CNE) למול יעדים במשק הישראלי.
- הקמפיין זוהה בשתי פעימות שונות המכילות קישור להורדת קובץ, אשר מוריד פוגענים מסוג Wiper ו–Infostealer לעמדת המשתמש.
- עדכון זה כולל מחקר על כלי ה- Infostealer אשר מטרתו איסוף מידע על נתקפים.
- ניתוח טכני
- התקיפה מנצלת את העובדה שבמסגרת טיפול בהתרעה קריטית שפרסמה חברת F5 בסוף אוקטובר 2023, החברה ציינה כאחת מדרכי ההתמודדות את האפשרות להוריד ולהריץ קובץ Shell Script על הציוד מתוצרתה.
- הודעת הדיוג נשלחת מכתובת הדוא"ל [email protected].
- תשומת לב כי כתובת הדוא"ל הנכונה של צוות ה-SIRT של 5F היא [email protected].
- טקסט ההודעה מצורף להתרעה זו כקובץ PNG.
- ההודעה המצורפת מבקשת מן המשתמש להוריד ולהריץ קובץ, על מנת לטפל בפגיעות קריטית שכביכול כבר נוצלה לתקיפת ציוד 5F שבשימוש הארגון.
- על מנת לשכנע את הנמענים, קבוצת התקיפה צירפה את כתובות ה-IP החיצוניות של ציוד 5F אשר בבעלות הארגון.
- התוקף מכווין את הנמען להריץ קובץ מסוג Wiper שהורד מהקישורים המצורפים לפניה, על שרתי Windows ו-Linux ברשת הארגונית.
- Windows – הקישור הראשון הוא קובץ Zip בשם update.zip המכיל את הקובץ f5updater.exe המיועד לשרתי Windows. קובץ זה נכתב על תשתית .NET ומכיל בתוכו קובץ דריסה בשם hatef.exe.
- גודלו של קובץ ה-f5updater – כ-1MB.
- הקובץ מופעל בזמן הרצת קובץ ה-f5updater.
- ה-Script ירוץ בהצלחה תחת הרשאות Local Admin בלבד.
- Linux – הקישור השני מוביל להורדת Script Bash בשם update.sh. ה- Script מיועד למחיקת השרתים עליהם הוא מורץ.
- גודלו של קובץ ה-Script – כ-80KB.
- ה- Script ירוץ בהצלחה תחת הרשאות Root בלבד.
- Windows – הקישור הראשון הוא קובץ Zip בשם update.zip המכיל את הקובץ f5updater.exe המיועד לשרתי Windows. קובץ זה נכתב על תשתית .NET ומכיל בתוכו קובץ דריסה בשם hatef.exe.
- בהודעת המייל מהתוקף נכתב כי נדרשות הרשאות מנהלן להרצת הפוגען על עמדת הנתקף.
- לפוגענים אין יכולת מובנית להתפשטות ברשת. קבוצת התקיפה מסתמכת על כך שהמשתמש יעתיק ויריץ את הקבצים בכלל השרתים השונים ברשת הארגון.
- הקמפיין פעל בשתי פעימות שונות אשר נשלחו בטווח זמנים של 72 שעות.
- הפעימה הראשונה כללה קבצי Wiper בלבד.
- בפעימה השנייה, בנוסף לקבצי Wiper, בתוך קובץ ה-f5updater קיים גם קובץ Infostealer המיועד לשרתי Windows.
- גודלו של קובץ ה-f5updater – כ-3MB.
- קובץ ה-Infostealer נקרא handala.exe. מדובר בוריאנט של Infostealer שמוכר בשם Rhadamanthys.
- הקובץ כתוב בשפת Delphi.
- בכלי קיימת לוגיקה המזהה נוכחות של AV ומנסה להשבית את השירות כדי למנוע פגיעה בהרצת התוכנה.
- אחת מהפונקציות של כלי זה הכילה מחרוזות שקודדו באמצעות ROT13; המחרוזות מרכיבות Script Obfuscated. בעת פיענוח המחרוזות, נמצא כי הכלי מבצע drop למספר קבצים נוספים לתיקיה חדשה אשר הוא מייצר, בשם %temp%.
- אחד מקבצים אלה הוא Script Obfuscated שמטרתו לבצע שרשור (concatenation) של הקבצים האחרים לשני קבצים חדשים – autoit3.exe ו-k, ולהריץ אותם.
- הקובץ k הינו Script הרצה obfuscated הכתוב בשפת AutoIt. קובץ זה מורץ על ידי autoit3.exe, שהוא autoit interpreter.
- נכון לפרסום מסמך זה, חקירת ה-Infostealer נמשכת.
- הערות
- ראוי לציין כי עבור התקיפות שדווחו עד כה, מזהי הקבצים שונים עבור נתקפים שונים, וכך גם ה-URL להורדתם, עובדה שתקשה על זיהוי תקיפות נוספות. יש להתייחס למתווה התקיפה ולהקפיד לא להפעיל קישורים דומים לו.
- בעת הרצת הקובץ, מוצגת למשתמש חלונית המדווחת על ביצוע עדכון לציוד ה-F5 שברשות הארגון.
- כחלק מפעולתם, הפוגענים מעלים לערוץ Telegram של התוקף פרטים על השרת הנתקף.
- השימוש בשפות Delphi ו-Autoit איננו נפוץ כלל ומעיד על נסיון מתוחכם למנוע ממערכות הגנה מסוג EDR לזהות פעילות זדונית במחשב.
- ראו התרעת מערך הסייבר הלאומי הקודמת בנדון בקישור מס' 1 בסעיף "מקורות" להלן. בקישור מס' 2 ראו התרעת המערך לאירוע בו פרסמה חברת 5F Script כחלק ממתן מענה לפגיעות, ואת התרעת חברת F5 עצמה בנוגע לאותה פגיעות בקישור מס' 3 להלן. בקישור הנ"ל ניתן למצוא את ה- Script המדובר, כחלק מטקסט ההתרעה של 5F.
דרכי התמודדות
- להתרעה זו מצורף קובץ מזהים. מומלץ מאד לחסום את מזהי התקשורת (כתובת דוא"ל של השולח והדומיין שלה) ואת מזהי הקבצים בכל מערכות האבטחה הארגוניות הרלוונטיות כגון SIEM, מערכות סינון דוא"ל, מערכות סינון להורדת קבצים, AV, EDR וכד'.
- נא עדכנו את מערך הסייבר הלאומי אם מצאתם אחד או יותר ממזהים אלו במערכותיכם.




















