2024-11-09T10:05:29+03:00
חוקרים מיחידה 42 התגלה מחדש פעילות קבוצת סייבר הקשורה לקמפיין הרחפן השקט, שתתרחש בסוף 2023. במאי 2024, התוקפים פשרו מספר שרתי אינטרנט כדי לקבל גישה לתשתית של חברה גדולה בצפון אמריקה. מומחים מקשרים את ההתקפות הללו לרחפן שקט בגלל דמיון בכלים ובטקטיקות שבהם נעשה שימוש.
מבצע רחפן שקט הובחן לראשונה בספטמבר 2023, כאשר האקרים אספו נתונים מתשלומים מקוונים. מאז כמעט ולא היו חדשות עליהם. לפי יחידה 42, פושעי סייבר מכוונים כעת לחברות המפתחות ותומכות במערכות תשלום ושערים.
כדי לפרוץ שרתים, התוקפים השתמשו בפרצות בפלטפורמת ממשק המשתמש הפופולרית של Telerik. בפרט נוצלו שתי נקודות תורפה – CVE-2017-11317
ו CVE-2019-18935 המאפשר ביצוע קוד מרחוק והורדת קבצים. שתי הפגיעויות נכללות בקטלוג CISA של פגיעויות ידועות הניתנות לניצול.
לאחר השגת גישה, ההאקרים פרסו קונכיות אינטרנט והקימו חיבורים מתמשכים באמצעות מנהור ופרוקסי הפוך כגון Fuso ו-FRP. מאוחר יותר, הכלי GodPotato שימש להסלמה של הרשאות באמצעות סקריפטים של PowerShell.
תוקפים השתמשו באופן פעיל במכלולים מעורבים של .NET ו-C++ כדי להקשות על ניתוח קוד התוכנית שלהם. זה איפשר להסתיר פונקציונליות זדונית ולעקוף מערכות אבטחה. בנוסף, נעשה שימוש בסקריפטים של Python שנארזו באמצעות PyInstaller כדי לסנן נתונים, מה שאפשר להסוות אותם כקבצי הפעלה לגיטימיים.
שיטת ההתקפה העיקרית היא התקנת קונכיות הפוכה ושימוש בכלי עזר לגיטימיים של Windows כדי לבצע פקודות זדוניות. לדוגמה, האקרים השתמשו ב-"mshta.exe" כדי להוריד ולהפעיל קבצי HTA זדוניים, שהריצו אז סקריפטים של PowerShell.
קווי דמיון בטקטיקות ובכלים בשימוש מאשרים את הקשר של פעילות זו עם הקמפיין שתואר קודם לכן על ידי BlackBerry נגד מערכות תשלום. עם זאת, כעת התוקפים משתמשים בשיטות חדשות לאיסוף נתונים: במקום להחדיר קוד לדפים, הם משתמשים בסקריפטים של Python כדי להתחבר לבסיסי נתונים ולהעלות נתונים ל-CSV.
מומחי Palo Alto Networks ממליצים לעדכן באופן מיידי גרסאות פגיעות של תוכניות ולהשתמש בכלי אבטחה מתקדמים, כגון Cortex XDR ו-XSIAM, כמו גם שירותי ענן, כולל סינון URL מתקדם ואבטחת DNS מתקדמת.
1 תגובה
Your point of view caught my eye and was very interesting. Thanks. I have a question for you.