קמפיין התקפי נגד גורמים ממגזרים שונים מתמקד בחברות IT בשרשרת האספקה
מאת:
מערכת Telecom News, 30.4.17, 18:50
קמפיין התקפי נרחב וחוצה מגזרים פועל באמצעות ניצול נתוני גישה מקומיים וברמת הדומיין וכן נתוני גישה של נותני שירותי IT מנוהלים, לצורך תקיפה תוך ארגונית או של לקוחות השירותים המנוהלים.
המרכז הלאומי לאבטחת הסייבר ואינטגרציה של התקשורת בארה"ב
NCCIC פרסם התרעה אודות קמפיין מתוחכם ומתפתח, שפעיל החל מחודש מאי 2016 לפחות ומשתמש במספר נוזקות. יעדי התקיפה זוהו במספר מגזרים, כולל טכנולוגיות מידע, אנרגיה, בריאות, תקשורת, תשתיות ייצור קריטיות ועוד.
עפ"י ניתוח ראשוני נראה, שהתוקף מנצל נתוני גישה של משתמש מנהל מערכת מקומית או ברמת הדומיין, יחד עם הפצת נוזקות. חלק משמעותי מקורבנות הקמפיין היו נותני שירותי
IT מנוהלים, שסיפקו שירותים ללקוחותיהם באמצעות רשת האינטרנט ונהנו מהרשאות גישה גבוהות למערכות הלקוחות השונים.
עפ"י הערכה, מטרת התקיפה היא גניבת מידע
.התוקפים עושים שימוש נרחב בפקודות
PowerShell ובתוכנת
PowerSploit ובהפצה של מספר נוזקות לרבות
REDLEAVES ו
PLUGX- למען השגת נתוני גישה ותעודות דיגיטליות, שנוצלו לצורך תנועה רוחבית ברשתות המותקפות התעבורה לשרתי ה-
C&Cהשונים של התוקף התבססה בעיקר על פורט 443 אך אינה תעבורת
.SSL/TLS
מומלץ לבצע בדיקה האם אינדיקטורים המזוהים עם תקיפה זו, מוכרים במערכותיכם:
מומלץ לבצע סריקות ברשת אחר תקשורת עם שרתי
C&C ואינדיקציה להדבקה. ניתן לבדוק לוגים של
FW או שרתי פרוקסי לצורך זיהוי תעבורה יוצאת לשרתים השונים.
מומלץ לחסום תעבורה לשרתים אלה במערכות אלו.
מומלץ לחסום או להתריע על תעבורה בפורט 443, שאינה
.TLS/SSL
קובץ אינדיקטורים-
IoC-
כאן.
