איראן מכה שוב: תקפה ארגונים בישראל עם נוזקה

סייבר איראני עלייך ישראל: יממה לאחר שפרסמנו כי האקרים ממשמרות המהפכה ברפובליקה האיסלאמית תוקפים ארגונים בעולם וגם בישראל, נחשפה עוד מתקפה, בה ההאקרים פורסים נוזקה בשם WezRat במתקפות המכוונות לארגונים ישראליים.

חוקרי יחידת המחקר של צ'ק פוינט, Check Point Research, חשפו בסוף השבוע סוס טרויאני חדש, המשיג שליטה וגישה מרחוק על מחשבי הקורבנות, וגונב מידע המשמש את שחקני האיום האיראניים לבצע סיור בנקודות קצה שנפרצו, ואז – לבצע פקודות ופעולות זדוניות.

החוקרים כינו את הנוזקה WezRat, וציינו כי היא נצפתה פעילה לפחות מאז תחילת ספטמבר 2023, וזאת "בהתבסס על ממצאים שהועלו לפלטפורמת VirusTotal".

לפי החוקרים, "WezRat יכולה לבצע פקודות, לצלם צילומי מסך, להעלות קבצים, לבצע keylogging ולגנוב תוכן. חלק מהפונקציות מבוצעות על ידי מודולים נפרדים, המאוחזרים בשרת השליטה והבקרה (C&C) בצורה של קבצי DLL, מה שהופך את המרכיב הראשי בדלת האחורית ל-פחות חשוד".

החוקרים מעריכים כי הנוזקה היא פרי פיתוח של סופת חול מכותנה (Cotton Sandstorm). קבוצת האקרים איראנית זו מוכרת יותר בשמות Emennet Pasargad ולאחרונה גם ASA (ר"ת Aria Sepehr Ayandehsazan).

Following the advisory, CPR shares an in-depth analysis of the malware attributed to Emennet Pasargad:
🐁 WezRat: a custom infostealer
🧀 Uses DLL modules for screenshots, keylogging, file theft, etc.
🐈 Over a year of activity and evolution

Read more:
👉 https://t.co/P7UtZkvlqk https://t.co/Vh0hpunnKd

— Check Point Research (@_CPResearch_) November 14, 2024

הנוזקה נחשפה בהודעה משותפות ישראלית-אמריקנית

הלוגו של קבוצת התקיפה האירנית ASA. צילום: מסמך ה-FBI

הנוזקה נחשפה לפני ימים אחדים בהודעה משותפת של ה-FBI, משרד האוצר האמריקני ומערך הסייבר הלאומי בישראל. קבוצת התקיפה האיראנית משויכת למשמרות המהפכה ברפובליקה האסלאמית.

במסמך מפורטות שיטות פעולה, תשתיות וקמפיינים אחרונים שנצפו בישראל ובארה"ב. בין היתר מוצגים פרטי חקירת הקמפיין כנגד ספורטאים מהמשלחת הישראלית לאולימפיאדת הקיץ בפריז, אז ההאקרים ניסו להשתלט על לוחות תצוגה כדי לגנות את ישראל. עוד מפורטים ניסיונות פריצה לישראל ולבחירות לנשיאות ארה"ב ב-2020. הקבוצה השתמשה בחברה בשם ASA ככיסוי לפעולותיה. החוקרים כינו אותה בשמות שונים, כולל סופת חול מכותנה ו-חתלתול מטורף ולא תקין.

לפי ההודעה, "הקבוצה עשתה שימוש בכלים חדשים, במאמציה לנהל פעולות מידע מבוססות סייבר עד אמצע 2024, תוך שימוש במספר עצום של ישויות כיסוי, כולל פעולות סייבר רבות במהלך אולימפיאדת פריז 2024… חברי הקבוצה ניסו גם לקצור תוכן ממצלמות IP, המשמשות לצילום סרטוני מעקב, והשתמשו בכלי בינה מלאכותית".

Cool #WezRat report from @_CPResearch_ with most samples on @virustotal except for (5 of them). We'll be keeping an eye on those and let y'all known when they show up on VT! #AriaSepehrAyandehsazan aka #EmennetPasargad full report: https://t.co/QdY1OWG3vJ

— Is Now on VT! (@Now_on_VT) November 15, 2024

צ'ק פוינט: WezRat כבר הופצה לכמה ארגונים ישראליים 

לפי סוכנויות אבטחת סייבר בארה"ב, "זוהה כלי ניצול לאיסוף מידע על נקודת קצה והפעלת פקודות מרחוק". לפי חוקרי צ'ק פוינט, "קובץ ההפעלה הנגוע בנוזקות נועד לקצור מידע על המערכת וליצור קשר עם שרת הפיקוד והבקרה, ואז – להמתין להוראות נוספות".

חוקרי ענקית הגנת הסייבר הישראלית ציינו כי ראו את WezRat מופצת לכמה ארגונים ישראליים. זאת, כחלק מהודעות פישינג המתחזות למערך הסייבר הלאומי בישראל. מקור המיילים, שנשלחו ב-21 באוקטובר השנה, הוא בכתובת הדוא"ל: alert@il-cert[.]net, והשולח הורה לנמענים להתקין בדחיפות עדכון אבטחה של כרום. "מתן סיסמה שגויה עלול לגרום לנוזקה לבצע פונקציה שגויה, או להקריס את מערכות הקורבן".

לפי צ'ק פוינט, "WezRat תפקדה בתחילה יותר כסוס טרויאני פשוט לגישה מרחוק, עם פקודות בסיסיות. עם הזמן, נוספו לה עוד תכונות פריצה וריגול. ניתוח הנוזקה ותשתית הקצה שלה מצביע שיש לפחות שני צוותים שונים המעורבים בפיתוח WezRat ובפעילותה. הפיתוח והשכלול המתמשך של הנוזקה מצביע על השקעה ייעודית בכלי ורסטילי, המתחמק מההגנות ונועד לריגול סייבר".

החוקרים סיכמו: "הפעילות של הקבוצה מכוונת נגד ישויות שונות ברחבי ארה"ב, אירופה והמזרח התיכון, ומהווה איום לא רק על יריבים פוליטיים ישירים – אלא גם על כל קבוצה, או אדם, בעלי השפעה על הנרטיב הבינלאומי, או הפנימי של איראן".