קבוצת ההאקרים Muddy Water מתפשטת בעולם

הקבוצה מרחיבה את המתקפות שלה מהמזרח התיכון לאסיה, אירופה ואפריקה ● צצה בשטח לראשונה ב-2017 במסגרת קמפיין שמוקד בגורמי ממשלה בעיראק ובערב הסעודית

מ-"פגיעה בביטחון המדינה" לגניבה. צילום אילוסטרציה: BigStock

קבוצת ההאקרים Muddy Water, שפעילותה התגלתה בראשונה ב-2017, מרחיבה את המתקפות שלה מעבר למזרח התיכון אל אסיה, אירופה ואפריקה, כך על פי חוקרי מעבדת קספרסקי.

החוקרים של ענקית אבטחת המידע הרוסית מנטרים את פעילות Muddy Water – גורם איום מתקדם – מאז שהקבוצה נצפתה בראשונה במסגרת התקפות בעיראק וערב הסעודית. כעת הם חשפו פעילות נוספת, גדולה, הממוקדת בגופים ממשלתיים בירדן, טורקיה, אזרבייג'ן, פקיסטן ואפגניסטן. זאת, בנוסף למיקוד המתמשך במטרות המקוריות.

הנוזקה הופצה באמצעות קמפיין פישינג ממוקד ומותאם אישית הכולל מסמכי אופיס המבקשים מהמשתמשים לאפשר פקודות מקרו המובנות בהן. ההתקפות, ציינו החוקרים – עדיין נמשכות.

זרם מתמשך של הודעות פישינג

Muddy Water צצה בשטח בשנת 2017 במסגרת קמפיין הממוקד בגורמי ממשלה בעיראק ובערב הסעודית. מוקדם יותר השנה, זיהו חוקרי קספרסקי זרם מתמשך של הודעות פישינג ממוקד, התוקפות טווח רחב בהרבה של מדינות. הקמפיין הגיע לשיאו במאי וביוני 2018, והוא עדיין נמשך.

תוכן הודעות הפישינג הממוקד מצביע על כך שהמטרות הן בעיקר גופים ממשלתיים וצבאיים, חברות טלקום ומוסדות השכלה. ההודעות נשאו קבצי MS Office 97-2003 וההדבקה מתבצעת ברגע שהמשתמש משתכנע לאפשר ביצוע של פקודת מקרו. חוקרי קספרסקי ניתחו את השלבים הראשונים של ההתקפה וכעת הם מפרסמים את הממצאים שלהם כדי לסייע לארגונים מותקפים להגן על עצמם.

החקירה בודקת כעת גם את מאגר כלי ה-PowerShell, VBS, VBA, פייתון ו- C# ואת כלי ה-RAT (טרויאנים לגישה מרחוק) של התוקפים.

ברגע שההדבקה מופעלת, הנוזקה מבססת קשר עם שרת הפיקוד באמצעות בחירה של URL רנדומלי מתוך רשימה הכלולה בו. לאחר ביצוע סריקה אחר נוכחות של תוכנת אבטחה, הקוד הזדוני מצניח אל מחשב הקורבן כמה סקריפטים, ולבסוף מטען PowerShell – המייצר יכולות של דלת אחורית ויכולות הרס (היכולת למחוק קבצים). השימוש שנעשה בקבצי MS לגיטימיים, גורם לכך שהנוזקה יכולה לעקוף כל רשימה שחורה.

בנוסף, קוד ה-PowerShell מנטרל את "התראות המקרו" ואת מאפיין ה"תצוגה הבטוחה" כדי להבטיח כי התקפות המשך לא יחייבו כל אינטראקציה מצד המשתמש. תשתית הנוזקה מורכבת מטווח של שרתים פגועים.

ממשיכה לפתח שיטות וטכניקות חדשות

מטרות של המתקפה זוהו בטורקיה, ירדן, אזרבייג'ן, עיראק וערב הסעודית וכן במאלי, אוסטריה, רוסיה, אירן ובחריין. לא ידוע עדיין בוודאות מי עומד מאחורי פעילות Muddy Water, אך נראה שהתוקפים פועלים לפי שיקולים גיאו-פוליטיים ומתמקדים בארגונים ובאנשים פרטיים בעלי רגישות גבוהה. הקוד ששימש בהתקפות האחרונות נושא כמה מאפיינים שנראה כי תוכננו כדי להסיח ולהטעות חוקרים. אלה כוללים שילוב בקוד שפה סינית ושמות כגון Leo, PooPak, Vendetta ו-Turk.

לדברי אמין חסיבי, חוקר אבטחה בכיר בצוות GReAT של מעבדת קספרסקי, "במהלך השנה האחרונה ראינו את קבוצת Muddy Water מפעילה מספר גדול של התקפות, כשהיא ממשיכה לפתח שיטות וטכניקות חדשות".

הוא ציין כי "לקבוצה יש מפתחים פעילים, המשפרים את מערך הכלים, במטרה למזער את החשיפה שלה למוצרי ושירותי אבטחת מידע. הדבר מצביע על כך שהתקפה מסוג זה צפויה להתגבר בטווח הקרוב. זו הסיבה שהחלטנו לשתף את הממצאים הראשוניים שלנו באופן ציבורי – כדי להגביר מודעות לאיום, כך שארגונים יוכלו לנקוט באמצעים כדי להגן על עצמם. אנו עדיין מנתחים את מערך הכלים של התוקפים, ונעקוב מקרוב אחר ההתקדמות, האסטרטגיות והטעויות שלהם".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים