Sliman Khader/FLASH90

התרעה דחופה: קבוצת תקיפה איראנית מימשה קמפיין דיוג ממוקד; כך תתגוננו

מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית הכוללת הודעת דוא"ל מתחזה שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע • כך תצליחו להתגונן

כתבות נוספות בנושא:

מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית הכוללת הודעת דוא"ל מתחזה שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע. מחקר של המערך בשיתוף חברה מסחרית מצא כי מאחורי ניסיון זה עומדת קבוצת תקיפה איראנית.

הודעת הדיוג מתחזה לחברת F5 המספקת מוצרי אבטחה לארגונים רבים. בהודעה נטען כי קיים עדכון אבטחה קריטי לתוכנה המחייב הורדת תוכנה מקישור מצורף. המערך מצא כי למימוש מתקפה זו נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לשליחת ההודעה. יעד זה נבחר במטרה לנסות להביא להטעמת התוכנה הזדונית בכלל שרתי הארגון. הקישור המתחזה מכיל שני קבצים זדוניים שהורדתם מפעילה כלי שאוסף מידע מהמערכת וכלי שמוחק את כלל המידע שברשת הארגונית (Wiper).

המתקפה משתמשת בכתובת דוא"ל עם סיומת הנראית במבט ראשון של F5 וכן מנצלת התרעה קודמת של החברה אודות הצורך להוריד ולהריץ קובץ מסוים כדי להגן על המערכת. במטרה לנסות לשכנע את הנמענים, אף צורפו להודעה המתחזה כתובות ה-IP החיצוניות של ציוד F5 אשר בבעלות הארגון.

בהתרעה שהוציא המערך לארגונים, מפורטים המחקר על הכלי הזדוני, הדרכים לזהות את המתקפה והמזהים לחסימתה במערכות הארגון. המערך קורא לארגונים לנקוט בצעדים לחסימת המתקפה מבעוד מועד, לדווח על הודעות דומות ולהימנע מלחיצה על קישורים לפני בדיקתם.

פרטים

  1. במהלך חודש דצמבר התקבלו במערך הסייבר הלאומי דיווחים על אודות קמפיין דיוג המזוהה במרחב ומתחזה לחברת F5.
  2. מערך הסייבר הלאומי משייך את קמפיין הדיוג לקבוצת תקיפה איראנית.
  3. ניתן להבחין כי במסגרת קמפיין זה נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה, הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לתקיפה.
  4. מטרת הקמפיין – מימוש תקיפות הרס (CNA) וכן איסוף מידע (CNE) למול יעדים במשק הישראלי.
  5. הקמפיין זוהה בשתי פעימות שונות המכילות קישור להורדת קובץ, אשר מוריד פוגענים מסוג Wiper ו–Infostealer לעמדת המשתמש.
  6. עדכון זה כולל מחקר על כלי ה- Infostealer אשר מטרתו איסוף מידע על נתקפים.
  7. ניתוח טכני
    1. התקיפה מנצלת את העובדה שבמסגרת טיפול בהתרעה קריטית שפרסמה חברת F5 בסוף אוקטובר 2023, החברה ציינה כאחת מדרכי ההתמודדות את האפשרות להוריד ולהריץ קובץ Shell Script על הציוד מתוצרתה.
    2. הודעת הדיוג נשלחת מכתובת הדוא"ל [email protected].
      1. תשומת לב כי כתובת הדוא"ל הנכונה של צוות ה-SIRT של 5F היא [email protected].
      2. טקסט ההודעה מצורף להתרעה זו כקובץ PNG.
    3. ההודעה המצורפת מבקשת מן המשתמש להוריד ולהריץ קובץ, על מנת לטפל בפגיעות קריטית שכביכול כבר נוצלה לתקיפת ציוד 5F שבשימוש הארגון.
    4. על מנת לשכנע את הנמענים, קבוצת התקיפה צירפה את כתובות ה-IP החיצוניות של ציוד 5F אשר בבעלות הארגון.
    5. התוקף מכווין את הנמען להריץ קובץ מסוג Wiper שהורד מהקישורים המצורפים לפניה, על שרתי Windows ו-Linux ברשת הארגונית.
      1. Windows – הקישור הראשון הוא קובץ Zip בשם update.zip המכיל את הקובץ f5updater.exe המיועד לשרתי Windows. קובץ זה נכתב על תשתית .NET ומכיל בתוכו קובץ דריסה בשם hatef.exe.
        1. גודלו של קובץ ה-f5updater – כ-1MB.
        2. הקובץ מופעל בזמן הרצת קובץ ה-f5updater.
        3. ה-Script ירוץ בהצלחה תחת הרשאות Local Admin בלבד.
      2. Linux – הקישור השני מוביל להורדת Script Bash בשם update.sh. ה- Script מיועד למחיקת השרתים עליהם הוא מורץ.
        1. גודלו של קובץ ה-Script – כ-80KB.
        2. ה- Script ירוץ בהצלחה תחת הרשאות Root בלבד.
    6. בהודעת המייל מהתוקף נכתב כי נדרשות הרשאות מנהלן להרצת הפוגען על עמדת הנתקף.
    7. לפוגענים אין יכולת מובנית להתפשטות ברשת. קבוצת התקיפה מסתמכת על כך שהמשתמש יעתיק ויריץ את הקבצים בכלל השרתים השונים ברשת הארגון.
    8. הקמפיין פעל בשתי פעימות שונות אשר נשלחו בטווח זמנים של 72 שעות.
    9. הפעימה הראשונה כללה קבצי Wiper בלבד.
    10. בפעימה השנייה, בנוסף לקבצי Wiper, בתוך קובץ ה-f5updater קיים גם קובץ Infostealer המיועד לשרתי Windows.
      1. גודלו של קובץ ה-f5updater – כ-3MB.
      2. קובץ ה-Infostealer נקרא handala.exe. מדובר בוריאנט של Infostealer שמוכר בשם Rhadamanthys.
      3. הקובץ כתוב בשפת Delphi.
      4. בכלי קיימת לוגיקה המזהה נוכחות של AV ומנסה להשבית את השירות כדי למנוע פגיעה בהרצת התוכנה.
      5. אחת מהפונקציות של כלי זה הכילה מחרוזות שקודדו באמצעות ROT13; המחרוזות מרכיבות Script Obfuscated. בעת פיענוח המחרוזות, נמצא כי הכלי מבצע drop למספר קבצים נוספים לתיקיה חדשה אשר הוא מייצר, בשם %temp%.
      6. אחד מקבצים אלה הוא Script Obfuscated שמטרתו לבצע שרשור (concatenation) של הקבצים האחרים לשני קבצים חדשים – autoit3.exe ו-k, ולהריץ אותם.
      7. הקובץ k הינו Script הרצה obfuscated הכתוב בשפת AutoIt. קובץ זה מורץ על ידי autoit3.exe, שהוא autoit interpreter.
      8. נכון לפרסום מסמך זה, חקירת ה-Infostealer נמשכת.
  8. הערות
    1. ראוי לציין כי עבור התקיפות שדווחו עד כה, מזהי הקבצים שונים עבור נתקפים שונים, וכך גם ה-URL להורדתם, עובדה שתקשה על זיהוי תקיפות נוספות. יש להתייחס למתווה התקיפה ולהקפיד לא להפעיל קישורים דומים לו.
    2. בעת הרצת הקובץ, מוצגת למשתמש חלונית המדווחת על ביצוע עדכון לציוד ה-F5 שברשות הארגון.
    3. כחלק מפעולתם, הפוגענים מעלים לערוץ Telegram של התוקף פרטים על השרת הנתקף.
    4. השימוש בשפות Delphi ו-Autoit איננו נפוץ כלל ומעיד על נסיון מתוחכם למנוע ממערכות הגנה מסוג EDR לזהות פעילות זדונית במחשב.
    5. ראו התרעת מערך הסייבר הלאומי הקודמת בנדון בקישור מס' 1 בסעיף "מקורות" להלן. בקישור מס' 2 ראו התרעת המערך לאירוע בו פרסמה חברת 5F Script כחלק ממתן מענה לפגיעות, ואת התרעת חברת F5 עצמה בנוגע לאותה פגיעות בקישור מס' 3 להלן. בקישור הנ"ל ניתן למצוא את ה- Script המדובר, כחלק מטקסט ההתרעה של 5F.

דרכי התמודדות

  1. להתרעה זו מצורף קובץ מזהים. מומלץ מאד לחסום את מזהי התקשורת (כתובת דוא"ל של השולח והדומיין שלה) ואת מזהי הקבצים בכל מערכות האבטחה הארגוניות הרלוונטיות כגון SIEM, מערכות סינון דוא"ל, מערכות סינון להורדת קבצים, AV, EDR וכד'.
  2. נא עדכנו את מערך הסייבר הלאומי אם מצאתם אחד או יותר ממזהים אלו במערכותיכם.

מצאתם טעות בכתבה? דווחו לנו >

כתבות חדשות באתר

מודיעין עילית: הסתיימו ימי השבעה – שמונה יתומים שבו לבית ריק
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
משבר מטוסי התדלוק בנתב"ג: מערכת הביטחון בביקורת חריפה על שרת התחבורה
טראמפ ברעיון חדש: עסקאות והשקעות מהמפרץ במקום דמי החזר 20 אחוז
מחר! מרן הגר"ד כהן יישא כפיו מול מקום המקדש
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
סיכול ממוקד ברצועה: חוסלו בכירים בזרוע הצבאית של חמאס בגדוד ג'באליה
אושר סופית: הכנסת הקפיאה את מעצרם של תלמידי ישיבות עד לאחר הבחירות
"אבא שלי שקוף?", שאל הילד הקטן – והנוכחים פרצו בבכי מר
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
מגפת האבולה בקונגו מחריפה: בארגון הבריאות מזהירים מהיקף תחלואה גדול בהרבה
בהנחיית יועמשי''ת הכנסת: הח"כים החרדים הצהירו שקרוביהם לומדי תורה
בשעות הקרובות: ההזדמנות שלכם לישועה במעמד נורא הוד בבית האשה השונמית
מ
תוכן מקודם
בשיתוף המחלקה
המסחרית
אזהרה חמורה: גל הודעות מתחזה למערכות הממשלתיים
נתניהו לאחר ביקור בכור בדימונה: "אם איראן תתקוף - התגובה תהיה עוצמתית יותר"

הכתבות המעניינות ביותר

אירופה תחת מתקפת אש: גל חום קיצוני ושריפות יער משתוללות
''צבע שחור'': ניסיון מעצר של בן ישיבה בשדרות, הבחור שוחרר
דיווח: ישראל שכרה את מנהל הקמפיין לשעבר של טראמפ למבצע השפעה בארה"ב
דוח חופש המידע 2025: תמונת מצב על שקיפות המענה של גופי ממשל לפניות מידע
נמאס לכם מכדור הארץ? נאס"א מחפשת מתנדבים לאסטרונאוטים למחקר
הממשלה אישרה: יותר ממיליארד ש"ח יוקצו לכבישי גישה וביטחון ביישובים החדשים ביו"ש
הצתה מכוונת? שריפה באתר הרכבת הקלה בירושלים גרמה להפסקות חשמל נרחבות
מרדף מקיסריה לתל אביב: מסיע ושני שוהים בלתי חוקיים נעצרו
"ילדים בכביש - שימו לב! '': ילד כבן 5 נפגע מרכב בביתר עילית מצבו בינוני
וואטסאפ

חדש באתר

MIDEAST ISRAEL USA
משבר מטוסי התדלוק בנתב"ג: מערכת הביטחון בביקורת חריפה על שרת התחבורה
P20260626JB-0533
טראמפ ברעיון חדש: עסקאות והשקעות מהמפרץ במקום דמי החזר 20 אחוז
WhatsApp Image 2026-07-14 at 19.38
סיכול ממוקד ברצועה: חוסלו בכירים בזרוע הצבאית של חמאס בגדוד ג'באליה
WhatsApp Image 2026-07-14 at 18.49
אושר סופית: הכנסת הקפיאה את מעצרם של תלמידי ישיבות עד לאחר הבחירות

המיוחדים

קיפקעס | מי יקח קרדיט אחרי הכישלון ומי נעדר מהמחאה?
קיפקעס | מי יקח קרדיט אחרי הכישלון ומי נעדר מהמחאה?
צילום מסך 2026-06-18 022446
הרבי מליובאוויטש עצר אותי ושאל שאלה ששינתה את חיי | ראיון מרתק
WhatsApp Image 2026-06-11 at 09.35
בוגרת הפרקליטות יוצאת למלחמה: "המדינה מענישה נשים חרדיות בגלל בעליהן"
WhatsApp Image 2026-06-08 at 10.08
רעידת אדמה משפטית: בוגרת הפרקליטות יוצאת למאבק נגד סנקציות הדיור - ומאיימת בבג"ץ

גלריות

בר מצוה לנכד האדמו''ר מביאלא ישרי לב צילום יוסי לוי (11)
שמחת הבר מצוה לנכד האדמו"ר מביאלא ישרי לב
שמחת האירוסיו בבית נאדבורנא באניא- סערדעהלי צילום שימי פ
שמחת האירוסין בבית נאדבורנא באניא - סערדעהלי
י''א חודש עצרת מספד ראש הישיבה בעל הברכת כהן בהיכל ישיבתו במודיעין עילית (17)
במלואת י"א חודש להסתלקותו: עצרת מספד על מרן ראש הישיבה בעל ה'ברכת כהן' זצוק"ל
רמות בירושלים סיום על ספרי חזון עובדיה (8)
הקהילה עשתה סיום על חזון עובדיה, הראשל"צ הגיע לברך • גלריה

עיתוני היום

וַיְהִי בֹקֶר יוֹם שְׁלִישִׁי • כותרות העיתונים – כ"ט בתמוז ה’תשפ”ו
וַיְהִי בֹקֶר יוֹם שְׁלִישִׁי • כותרות העיתונים – כ"ט בתמוז ה’תשפ”ו

התחברות למשתמש פרימיום

ברוכים הבאים!

לגלישה באתר נקי מפרסומות קופצות ובאנרים, היכנסו באמצעות חשבון הגוגל שלכם.

דיווח על סרטון

מה ברצונך למצוא?

יש לך משהו דחוף לומר לנו?

הדואר
האדום

צירוף קובץ עד גודל של 5 מגה
Hide picture