מערך הסייבר הלאומי דיווח על קמפיין תקיפה מדינתי של קבוצת התקיפה APT29
מאת:
מערכתTelecom News , 21.7.20, 21:40
לאחרונה פרסמו ה-NCSC הבריטי, ה-NSA האמריקאי וה-CSE הקנדי התרעה לגבי קמפיין תקיפה בשם Wellmess. הקמפיין מיוחס לקבוצת התקיפה המדינתית APT29. מהן דרכי ההתמודדות בארגונים?
הקמפיין מיוחס לקבוצת התקיפה
APT29, שמוכרת גם בשמות
Bear Cozy,
the Dukes
הקבוצה תוקפת בעיקר ארגונים ממשלתיים, דיפלומטיים, מכוני מחקר, וארגונים במגזרי הבריאות והאנרגיה, למטרות גניבת מידע.
לאחרונה הקבוצה עסקה בניסיונות לאיסוף מידע על
חיסונים לווירוס הקורונה.
וקטור התקיפה הראשוני היו פגיעויות, שפורסמו בחודשים האחרונים בציוד
VPN מתוצרת
Citrix ,Pulse ו-
Fortinet ,וכן פגיעות בתוכנה בשם
Zimbra
הקבוצה משתמשת גם בדיוג ממוקד להשגת נתוני הזדהות למערכות ארגוניות החשופות לרשת.
הקבוצה עושה שימוש בפוגען ייחודי המוכר בשם
Wellmess .הפוגען כתוב בשפת
Go או ב-
NET. השימוש הראשון בפוגען זה תועד ע"י ה-
CERT היפני ב-2018.
הפוגען מאפשר הרצת פקודות מערכת הפעלה, והעלאה והורדה של קבצים. הפוגען יכול לתקשר עם שרת התוקף בפרוטוקולים
HTTP ,TLS ו-
DNS.
פוגען נוסף בשימוש הקבוצה מכונה
Wellmail, בין השאר, משום שהוא מתקשר בפורט 25. פוגען זה מאפשר הרצת פקודות וסקריפטים, שתוצאותיהם נשלחים לשרת
C2 בשליטת התוקף.
פוגען זה גם הוא כתוב בשפת
Go ומיועד להפעלה על מערכות לינוקס.
שני הפוגענים מכילים תעודה דיגיטלית בעלת מאפיינים קבועים:
subjectKeyIdentifier (SKI) '0102030406
'
C=Tunis, O=IT'
'
O=GMO GlobalSign, Inc'
כלי המכונה
SoreFang, משמש בשלב הראשון של התקיפה לאיסוף מידע לגבי העמדה המותקפת ולהורדת השלב השני, באמצעות פרוטוקול
HTTP.
דרכי התמודדות:
מערך הסייבר הלאומי צרף -
כאן קובץ מזהים, וממליץ לנטרם במערכות הארגוניות הרלוונטיות.
מומלץ לסרוק מערכות אלו 3 חודשים אחורה לזיהוי פעילות הקשורה למזהים אלה.
בנספח א' -
כאן, מצורפים מספר חוקי
YARA העשויים לסייע בזיהוי קבצים הקשורים לקמפיין.
מומלץ לארגונים בעלי מערכות התומכות בחוקי
YARA ,להגדיר חוקים אלה במערכותיהם.