משתמשי Outlook ו-Office נמצאים כעת על הכוונת של קבוצת התקיפה גמארדון
מאת:
מערכת Telecom News, 14.6.20, 15:48
קבוצת ה-APT משתמשת כעת בשיטות חדשניות כדי להפיץ קודים זדוניים. תועד לראשונה מקרה של קבוצת תקיפה המשתמשת בקובץ OTMובפקודות מאקרו של Microsoft Outlook כדי להגיע למטרתה.
חוקרי חברת אבטחת המידע
ESET גילו כלים חדשים המשמשים את קבוצת גמארדון בקמפיינים הזדוניים שלהם מהזמן האחרון. קבוצת גמארדון החלה את פעילותה ב-2013, אם לא מוקדם יותר.
הכלי הראשון מכוון את מתקפותיו אל
Microsoft Outlook באמצעות יצירת פקודות מותאמות אישית בשפת התכנות ויז'ואל בייסיק (
VBA), שמאפשרות לתוקפים להשתמש בחשבון הדוא"ל של הקורבן כדי לשלוח הודעות דיוג ממוקד
(spearphishing) לאנשי הקשר בפנקס הכתובות. בצורה כזו, הקורבן מקבל מייל זדוני מאדם שהוא מכיר, לכאורה, וסומך עליו, דבר המעלה את הסבירות לפגיעה. שימוש בפקודות מאקרו של
Microsoft Outlook היא שיטת תקיפה, שהחוקרים נתקלים בה לעיתים רחוקות מאוד.
הכלי השני, שמשמש את קבוצת ה-
APT, מחדיר פקודות מאקרו לתבניות של מסמכי
Wordו-
Excel. 2 הכלים תוכננו כדי לעזור לתוקפים להתפשט לנקודות רבות ככל האפשר ברשתות אליהן פרצו מלכתחילה.
הכלים האחרונים מזריקים פקודות מאקרו או הפניות מאקרו לתבניות מרוחקות לקבצים הקיימים במערכת שהותקפה.
זו דרך יעילה מאוד להתפשטות ותנועה בתוך רשת של ארגון, שכן העובדים משתפים מסמכים אחד עם השני באופן תדיר. בנוסף, הודות לפונקציונליות מיוחדת, שמסוגלת לשנות את הגדרות האבטחה של פקודות המאקרו של
Microsoft Office, המשתמשים שהותקפו כלל אינם מודעים לכך, שכל פתיחת מסמך חושפת את תחנות העבודה שלהם למתקפה
.
הקבוצה משתמשת בדלתות אחוריות ובתוכנות לגניבת קבצים כדי לזהות ולאסוף מסמכים רגישים במערכת שאליה פרצו, ומעלה אותם לשרת השליטה והבקרה (שבשליטת הקבוצה). בנוסף, תוכנות גניבת הקבצים האלה מסוגלות להריץ קוד זדוני שנמצא בשרת השליטה והבקרה לפי בחירתם
.
יש הבדל חשוב אחד בין גמארדון ובין קבוצות
APT אחרות - תוקפיה של קבוצה זו עושים מאמצים מזעריים, אם בכלל, כדי להסתיר את עצמם. למרות שהכלים שברשותם מסוגלים להשתמש בטכניקות חמקניות ביותר, נראה, שהמטרה העיקרית של הקבוצה היא להתפשט מהר ורחוק ככל האפשר ברשת הקורבן בזמן שהם מנסים לגנוב מידע ומסמכים במהירות הגבוהה ביותר.
ציור
ג'אן-יאן בוטין, מנהל חקר האיומים ב-
ESET: "הקבוצה הזו הגבירה את פעילותה בחודשים האחרונים, ואנו רואים גלים של הודעות דוא"ל זדוניות המגיעות לתיבות הדוא"ל של קורבנותיה באופן קבוע. הקבצים המצורפים להודעות דוא"ל אלו הם מסמכים הכוללים פקודות מאקרו זדוניות, שמנסים להוריד כמות גדולה של נוזקות מסוגים שונים לאחר הפעלתם.
על אף ששימוש בתיבת דוא"ל, שנפרצה לשליחת הודעות דוא"ל זדוניות ללא הסכמת הקורבן, היא ממש לא טכניקה חדשה, אנו מאמינים, שזהו המקרה המתועד הראשון של קבוצת תקיפה המשתמשת בקובץ
OTMובפקודות מאקרו של
Microsoft Outlook כדי להגיע למטרה הזו
".
פרטים טכניים נוספים בנוגע לכלים האחרונים של גמארדון
- כאן.