מעבדת קספרסקי

קספרסקי

חוקרי מעבדת קספרסקי, המנטרים את פעילות Muddy Water - גורם איום מתקדם שנצפה לראשונה ב-2017 במסגרת התקפות בעיראק וערב הסעודית, חשפו פעילות נוספת גדולה הממוקדת בגופים ממשלתיים בירדן, טורקיה, אזרבייג'ן, פקיסטן ואפגניסטן. זאת בנוסף למיקוד המתמשך במטרות המקוריות. הקוד הזדוני הופץ באמצעות קמפיין פישינג ממוקד ומותאם אישית, הכולל מסמכי אופיס המבקשים מהמשתמשים לאפשר פקודות מקרו המובנות בהן. ההתקפות עדיין נמשכות.

Muddy Water הוא גורם איום חדש יחסית שצץ בשטח בשנת 2017 במסגרת קמפיין הממוקד בגורמי ממשלה בעיראק ובערב הסעודית. מוקדם יותר השנה, זיהו חוקרי מעבדת קספרסקי זרם מתמשך של הודעות פישינג ממוקד התוקפות טווח רחב בהרבה של מדינות. הקמפיין הגיעה לשיאו במאי ויוני 2018, והוא עדיין נמשך.

תוכן הודעות הפישינג הממוקד מצביע על כך שהמטרות הן בעיקר גופים ממשלתיים וצבאיים, חברות טלקום ומוסדות השכלה. ההודעות נשאו קבצי MS Office 97-2003 וההדבקה מתבצעת ברגע שהמשתמש משתכנע לאפשר ביצוע של פקודת מקרו. חוקרי מעבדת קספרסקי ניתחו את השלבים הראשונים של ההתקפה וכעת הם מפרסמים את הממצאים שלהם כדי לסייע לארגונים מותקפים להגן על עצמם. החקירה בודקת כעת גם את מאגר כלי ה-PowerShell, VBS, VBA, פייתון ו- C# ואת כלי ה-RAT (טרויאנים לגישה מרחוק) של התוקפים.

ברגע שההדבקה מופעלת, הקוד הזדוני מבסס קשר עם שרת הפיקוד באמצעות בחירה של URL רנדומלי מתוך רשימה הכלולה בו. לאחר ביצוע סריקה אחר נוכחות של תוכנת אבטחה, הקוד הזדוני מצניח אל מחשב הקורבן מספר סקריפטים, ולבסוף מטען PowerShell המייצר יכולות של דלת אחורית ויכולות הרס (היכולת למחוק קבצים). השימוש שנעשה בקבצי MS לגיטימיים, גורם לכך שהקוד הזדוני יכול לעקוף כל רשימה שחורה. בנוסף, קוד ה-PowerShell מנטרל את "התראות המקרו" ואת מאפיין ה"תצוגה הבטוחה" כדי להבטיח כי התקפות המשך לא יחייבו כל אינטראקציה מצד המשתמש. תשתית הקוד הזדוני מורכבת מטווח של שרתים פגועים.

מטרות של ההתקפה זוהו בטורקיה, ירדן, אזרבייג'ן, עיראק וערב הסעודית, וכן במאלי, אוסטריה, רוסיה, אירן ובחריין. לא ידוע עדיין בוודאות מי עומד מאחורי פעילות Muddy Water, אך נראה שהתוקפים פועלים לפי שיקולים גיאו-פוליטיים, ומתמקדים בארגונים ופרטיים בעלי רגישות גבוהה. הקוד ששימש בהתקפות האחרונות נושא מספר מאפיינים שנראה כי תוכננו כדי להסיח ולהטעות חוקרים. אלה כוללים שילוב בקוד שפה סינית ושמות כגון Leo, PooPak, Vendetta ו-Turk.

"במהלך השנה האחרונה ראינו את קבוצת Muddy Water מפעילה מספר גדול של התקפות, כשהיא ממשיכה לפתח שיטות וטכניקות חדשות. לקבוצה יש מפתחים פעילים המשפרים את מערך הכלים במטרה למזער את החשיפה שלה למוצרי ושירותי אבטחת מידע. הדבר מצביע על כך שהתקפה מסוג זה צפויה להתגבר בטווח הקרוב. זו הסיבה שהחלטנו לשתף את הממצאים הראשוניים שלנו באופן ציבורי – כדי להגביר מודעות לאיום, כך שארגונים יוכלו לנקוט באמצעים כדי להגן על עצמם. אנו עדיין מנתחים את מערך הכלים של התוקפים, ונעקוב מקרוב אחר ההתקדמות, האסטרטגיות והטעויות שלהם", אמר אמין חסיבי, חוקר אבטחה בכיר בצוות GReAT של מעבדת קספרסקי.
מעבדת קספרסקי ממליצה לארגונים לשקול את הפעולות הבאות כדי להקטין את הסיכון ליפול קורבן לפעילות כגון זו של Muddy Water:

הטמיעו גישה מקיפה לזיהוי, מניעה וחקירה של התקפות ממוקדות, כולל הפעלה של פתרונות אבטחה מתקדמים והכשרות כנגד התקפות ממוקדות
ספקו לצוות האבטחה שלכם גישה לנתונים עדכניים של מודיעין איומים, דבר שיחמש אותם בכלים חשובים למניעת וגילוי התקפות ממוקדות, כגון סממנים לפריצה וחוקי YARA.
הבטיחו את קיומם של תהליכי עדכון תוכנות התואמים לרמת ארגונית
בדקו את כל הגדרות המערכת והטמיעו נהלים טובים מסוגם.
למדו את הצוות לזהות הודעת דואר אלקטרוני חשודה ומה לעשות עמה

לפרטים נוספים, כולל סממנים לפריצה, Securelist