זוהה קמפיין תקיפה חדש של קבוצת MuddyWater האיראנית
מאת:
מערכת Telecom News, 19.6.18, 23:20
הקבוצה, שמכונה גם TEMP.Zagros, פועלת למול מנעד רחב של יעדים במדינות המזרח התיכון ואסיה, ביניהם ישראל. מה מומלץ לארגונים לעשות?
דווח, שלאחרונה
התפרסמו (פרסום מפורט ביותר של טרנד מיקרו), פרטים על קמפיין חדש של קבוצת התקיפה האיראנית
MuddyWater.
קמפיין תקיפה זה, בדומה לקמפיין הקודם של קבוצה זו, מבוסס על הודעות דוא"ל המכילות צרופה זדונית. כאשר הגורם הנתקף מאפשר הרצה של פקודות מאקרו, ופותח את הצרופה, מופעלת שרשרת פקודות ב-
PowerShell, ובסופו של התהליך יורד לעמדה פוגען מסוג
Backdoor.
פוגען זה מתקשר עם שרת
C&C מרכזי יחיד, ויכול לגנוב את היסטוריית הגלישה, להדליף סיסמאות, לבצע צילומי מסך ועוד.
קבוצת התקיפה
MuddyWater, שמכונה גם
TEMP.Zagros, היא קבוצה איראנית הפועלת משלהי 2017 למול מנעד רחב של יעדים במדינות המזרח התיכון ואסיה, ביניהם
ישראל.
שיטת התקיפה העיקרית של הקבוצה מתבססת על שליחת הודעות דוא"ל בדיוג ממוקד (
Spear Phishing), בצירוף מסמכים זדוניים העוסקים בנושאים גיאופוליטיים ומחקריים, שתכליתם התקנת
Backdoor במחשב היעד.
איך מתמודדים?
מומלץ להפעיל שיקול דעת מחמיר בנוגע לפתיחת צרופות ממקור לא ידוע, ואף צרופות ממקור ידוע, שנשלחו באופן בלתי צפוי. בכל מקרה של ספק, מומלץ לבדוק מול השולח האם ההודעה אכן נשלחה על ידו, או לערב את גורמי אבטחת המידע בארגון.
מומלץ לצפות במסמכי
Office מהאינטרנט תחת ההגדרה של
Macros Disabled ותחת
.Protected View
יש לחשוד בכל מסמך או הודעה המעודדים את המשתמש להסיר מנגנוני הגנה אלה.
מידע על דרכי זיהוי וניטור של פעילות של
Powershell -
כאן.