קבוצת תקיפה המכונה Chafer תוקפת ארגונים, חלקם דרך שרשרת האספקה
מאת: מערכת Telecom News, 14.3.18, 23:50

דווח על קמפיין תקיפה מאיראן במזרח התיכון נגד יעדים ממגזרים שונים. פירוט לגבי הקמפיין, הכלים שלו, הקבוצה ודרכי התמודדות.

דווח על קבוצת תקיפה מאיראן המכונה,Chafer  שאפשר וקשורה לקבוצת תקיפה מוכרת בשם ,Oilrig שתוקפת ארגונים שונים, חלקם דרך שרשרת האספקה שלהם.

בקמפיין הנוכחי, תוקפת הקבוצה יעדים במזרח התיכון מהמגזרים הבאים: תעופה, תחבורה, תוכנה ו ,IT- הנדסה, משאבי אנוש, תקשורת.

אודות הקמפיין
בקמפיין הנוכחי הקבוצה משתמשת בשיטות של דיוג ממוקדSpear Phishing  כווקטור תקיפה ראשוני, במסגרתו נשלחים בד"כ קבצי Excel  זדוניים. במידה שהקובץ נפתח ע"י המשתמש, יורד לעמדה סקריפט VBS המפעיל סקריפט .PowerShell

כתוצאה משרשרת פעולות אלו, בחלוף מספר שעות יופיע בעמדה קובץ  ,Dropperשיתקין על העמדה 3 כלים לשימוש התוקף:

תוכנה לגניבת מידע ,Info Stealer
תוכנה ללכידת תמונת מסך,
קובץ ריצה ריק. 

בתוכנה ללכידת תמונת מסך נעשה שימוש מועט, ורק בשלב הראשוני של התקיפה. תוכנת גניבת המידע יודעת לחלץ מידע מה-,Clipboard ללכוד תמונת מסך, להקליט הקשות מקלדת, לגנוב קבצים ונתוני גישה. ניתן להוריד לעמדה המותקפת כלים נוספים באמצעות כלי מבוסס .PowerShell  כלים אלה ישמשו לתנועה רוחבית Lateral Movement  ברשת המותקפת.

חלק מהכלים, שבהם משתמשת הקבוצה בקמפיין זה, הם חינמיים וניתנים להשגה ברשת, ביניהם:

-  Remcom  תוכנת קוד פתוח המקבילה בתפקודה ל.PsExec- מאפשרת להפעיל תוכנות ולהריץ תהליכים מרחוק.

 NSSM - משמשת לניהול שירותים,Services  לשם הרצת הפוגען כשירות. כך, שתישמר אחיזה בעמדה המותקפת.

כלי ייעודי לחילוץ מידע מה-,Clipboard ולכידת תמונת מסך.

כלים לניצול פגיעויות בפרוטוקול,SMB  כולל הפגיעות EternalBlue המוכרת מ- Wannacryו.Petya-

GNU HTTPTunnel - תוכנת קוד פתוח המאפשרת יצירת ערוץ תקשורת דו-כיווני בין עמדות באמצעות תעבורת,HTTP  תחת ההנחה, שפרוטוקול זה פתוח ברוב ה-.Firewalls

- UltraVNC  כלי ניהול מרחוק למערכת הפעלה.Windows

NBTScan  - כלי המאפשר סריקת רשתות וחיפוש אחר מידע הקשור לפרוטוקול,NetBIOS  שמצוי בשימוש במערכות .Windows

בנוסף, הקבוצה משתמשת גם בפוגען המוכר Remexi  ובכלים מוכרים נוספים כגון .Pwdump ,Mimikatz, Plink  התוכנה האחרונה משמשת לפתיחת ערוץ מוצפן באמצעות SSH בין התוקף לבין פורט (RDP) 3389  במחשב המותקף.

אודות הקבוצה
הקבוצה החלה את פעילותה ב-2014, וב-2015 החלה לתקוף יעדים במזרח התיכון. וקטור התקיפה הראשוני של הקבוצה היה בעבר שרתי ,Web  לרוב באמצעות.SQL Injection

בקמפיין זה וקטור התקיפה הראשוני של הקבוצה השתנה, ונעשה שימוש בעיקר בקבצי Excel נגועים.

דרכי התמודדות
יש להקפיד לא לפתוח קבצים, שהגיעו מגורמים, שאינם מוכרים, או אף מגורמים מוכרים אך באופן בלתי צפוי. בכל מקרה של ספק, מומלץ לברר קודם עם השולח, בתווך תקשורת, שאינו דוא"ל, האם שלח את ההודעה המדוברת.

 פתיחת קבצי,Office  שמקורם ברשת האינטרנט, מומלצת רק במצב של נטרול הפעלת,Macros  ושימוש ב.Protected View-

יש לחשוד אם המסמך מפרט בתוכנו מדוע יש לבטל אמצעי הגנה אלה, חלקם או כולם.

מומלץ לבחון האם ניתן להגביל תעבורת SMB ברשת הארגונית. כך, שהיא תפעל מעמדת הקצה אל השרתים השונים בלבד.

מומלץ לבחון האם ניתן לבטל שימוש בפרוטוקול SMBv1 ברשת הארגונית.

יש לוודא, שעדכוני האבטחה של מיקרוסופט, ובפרט עדכון MS17-010 מחודש זה - מרץ 2017, הותקנו בכל העמדות והשרתים בארגון.

פרטים נוספים על הקבוצה המיוחסת לאיראן ניתן  לקרוא גם בכתבה - כאן  


.