חדשות הסייבר לשבוע האחרון
1. מתקפת סייבר באיראן: 70% מתחנות הדלק מושבתות, האקרים פרו-ישראלים קיבלו אחריות
2. בתום חקירה משותפת של מערך הסייבר הלאומי, צה"ל ושב"כ, נמצא כי קבוצת סייבר של משרד המודיעין האיראני, במעורבות קבוצת סייבר של חיזבאללה, עומדות מאחורי הניסיון למתקפת סייבר שכוונה לשיבוש בית החולים זיו בצפת לפני כשלושה שבועות. – המתקפה כשלה בניסיון לשבש את פעילות בית החולים.
קמפיין דיוג ממוקד מתחזה לחברת F5
מערך הסייבר הלאומי מתריע על קמפיין דיוג ממוקד המתחזה לחברת F5. להודעות מטעם התוקף מצורף קישור להורדת קובץ, אשר מוריד פוגען מסוג Wiper לעמדת המשתמש.
1. ההודעה נשלחת מכתובת הדוא"ל [email protected]. תשומת ליבכם כי כתובת הדוא"ל הנכונה של צוות ה-SIRT של 5F היא [email protected].
2. התוקף מנסה לשכנע באמצעות הנדסה חברתית גורמים טכניים בארגונים הנמענים להוריד ולהריץ קובץ, על מנת לטפל בפגיעות קריטית שכביכול כבר נוצלה לתקיפת ציוד 5F שבשימוש הארגון.
3. על מנת לשכנע את הנמענים ברצינות פנייתו, התוקף צרף כתובות IP חיצוניות של ציוד 5F בבעלותם.
4. התקיפה מנצלת את העובדה שבמסגרת טיפול בהתרעה קריטית שפרסמה חברת F5 בסוף אוקטובר 2023, החברה ציינה כאחת מדרכי ההתמודדות את האפשרות להוריד ולהריץ קובץ Shell Script על הציוד מתוצרתה.
5. התוקף מכווין את הנמען להריץ את הקובץ שהורד מהקישור המצורף לפניה, על שרתי Windows ו-Linux ברשת הארגונית.
6. הפעלת הקובץ על שרתים אלו, תביא למחיקתם באמצעות פוגען מסוג Wiper.
7. הפוגען ל-Windows הינו קובץ .NET בגודל של כ-1MB. שם הקובץ update.zip.
8. הפוגען ל-Linux הינו Obfuscated Bash Script בגודל של כ-80KB. שם הקובץ update.sh.
9. בעת הרצת הפוגענים, הם מעדכנים את המשתמש שכביכול מבוצע עדכון לציוד ה-5F שברשותו.
10. כחלק מפעולתם, הפוגענים מעלים לערוץ טלגרם של התוקף פרטים על השרת הנתקף.
מערך הסייבר הלאומי פרסם קובץ מזהים עדכני. מומלץ מאד לנטרם בכל מערכות האבטחה הארגוניות הרלוונטיות. יש להימנע מהפעלת כל קישור מסוג זה.
עדכוני אבטחה
Apple פרסמה עדכוני אבטחה כדי לטפל בפרצות ב-Safari, iOS, iPadOS ו-macOS Sonoma. תוקף יכול לנצל אחת מהחולשות הללו כדי להשיג מידע רגיש.
מומלץ לעיין במהדורות האבטחה של Apple ולהחיל עדכונים נחוצים.
