היום יום ראשון, 09:32 בבוקר, אני מכין את כוס הקפה הראשונה שלי להיום, ומתחיל לעבור על עדכונים מחברות אבטחה בארץ ובעולם, דוחות, התרעות מחוקרים, וכל מה שיכול ללמד משהו חדש. מתוך כל התוכן הזה אני מסנן את הרעש ומעדכן אתכם במה שנראה לי הכי חשוב בנושא: איך האקרים תוקפים בסביבת העבודה, ואיפה ארגונים נופלים בפועל. והבוקר, גילוי נאות: זו מתקפה שמתחילה “שקטה”, אבל מתקדמת בצורה הנדסית יוצאת דופן ומסוכנת במיוחד.
חוקרי FortiMail Workspace Security חשפו מתקפת פישינג ממוקדת נגד חברות וארגונים בישראל, בעיקר במגזרי תשתיות וארגונים בעלי חשיבות תפעולית. לפי התיאור, התוקפים ניצלו מערכת דוא״ל פנימית שנפרצה כדי להפיץ הודעות שנראות אמינות במיוחד לנמענים מקומיים, ובכך העלו משמעותית את שיעור ההצלחה של הפיתיון. מה שמבדיל את הסיפור הזה מהרבה מקרים אחרים הוא שזה לא “עוד קובץ מצורף”, אלא שרשרת רב־שלבית בלי קבצים כמעט בכלל, שבה הכול רץ דרך PowerShell עד להטמעת RAT שפועל בסביבת סקריפטים.
רמת הסיכון הוגדרה גבוהה, ולא סתם: יש אינדיקציות לדליפת מידע, איסוף סמוי, התבססות מתמשכת (persistence) ותנועה רוחבית בתוך הרשת. ברגע שלתוקף יש יכולת להתבסס ולרוץ “בשקט” מאחורי הקלעים, האירוע מפסיק להיות נקודתי והופך לאיום מתמשך שיכול לגדול תוך שעות וימים. לכן זה רלוונטי במיוחד לארגונים אזוריים עם פרופיל סיכון גבוה, במיוחד כאלה שמספקים שירותים חיוניים.
הפיתיון וההנדסה החברתית
ההודעה הזדונית הוצגה כהזמנה ל“מפגש חונכות/הדרכה” בנושא התנהלות בתקופות של איומי מלחמה וניהול מלאי רפואי ופרמצבטיקה. זה נשמע כמו משהו שיכול להגיע מהנהלה, HR או גורם תפעולי, במיוחד במצב שבו ארגונים באמת עושים הדרכות ועדכונים מהירים. הניסוח היה “ארגוני” במכוון, כדי לצמצם חשד ולגרום לזה להרגיש כמו עוד הודעה פנימית שצריך פשוט לבצע.
מרכיב חכם נוסף היה בקשה מפורשת מהנמענים להעביר את החומרים לעמיתים. זו נקודה קטנה אבל קריטית, כי היא הופכת את ההודעה למנגנון הפצה פנימי: גם אם הקורבן הראשון לא ילחץ, ההודעה עדיין תמשיך להתגלגל ותגדיל חשיפה במחלקות נוספות. זה מנצל הרגל טבעי בארגונים, במיוחד בזמן לחץ, להעביר “מידע חשוב” הלאה בלי לעצור לבדיקה.
הקישור הוביל לעמוד מזויף של Microsoft Teams שמחקה את הממשק ומציע “Continue on this browser”. זו בחירה מדויקת, כי משתמשים רגילים לראות מסכים כאלה, וזה נראה כמו פעולה סטנדרטית ולא חריגה. בפועל, זה היה שלב מעבר שתפקידו לא “להדביק” לבד, אלא להוביל את המשתמש לבצע את הפעולה הבאה בעצמו, כך שכל השרשרת תיראה כמו פעולה לגיטימית שבוצעה מרצון.
הטריגר: “הכוונה מודרכת” שמפעילה PowerShell בלי קובץ
החלק המסוכן ביותר בשרשרת היה שימוש בתרגיל ClickFix (“הכוונה מודרכת”), שבו המשתמש מתבקש לפתוח את חלון Run באמצעות Windows+R, להדביק פקודה ארוכה מהלוח ולאשר. זה נשמע כמו “תמיכה טכנית” לגיטימית, אבל זו בדיוק המלכודת: במקום שהמערכת תראה הורדה של קובץ או הרצה חשודה, הכול מתבצע מתוך פעולה ידנית של המשתמש עצמו. מבחינת ההגנות, זה עוקף שכבות שמכוונות לקבצים מצורפים והורדות, ומחליש חלק מהבקרות האוטומטיות.
מבחינת התוקף, יש כאן גם יתרון פסיכולוגי: המשתמש מרגיש שהוא רק “ממשיך תהליך”, ולא עושה משהו חריג. ברגע שהפקודה מודבקת לתוך Run ונראית “טכנית”, הרבה אנשים מניחים שזה חלק מההנחיה הרשמית ופשוט מאשרים. וזה בדיוק הרגע שבו PowerShell נכנס לפעולה ומתחיל להריץ שלבים נוספים בלי שתישאר “ראיה” ברורה כמו קובץ EXE שהורד.
בתרחישים כאלה גם משתמשים מנוסים נופלים, כי ההתקפה לא נשענת על טריק אחד, אלא על זרימה טבעית: מייל פנימי אמין, עמוד Teams שנראה מוכר, ואז “רק תעשה את זה כדי להמשיך”. התוקף בעצם הופך את הקורבן לשותף בהפעלה, וזה הופך את הזיהוי והבלימה להרבה יותר מאתגרים.
איך ההדבקה מתקדמת: Base64, הורדה, פענוח והרצה בזיכרון
לפי הדוח, כבר בדף הפישינג הופיעה מחרוזת Base64 מפוצלת לכמה חלקים, ולאחר חיבור ופענוח התקבלה פקודת PowerShell שמבצעת הורדה והרצה של קוד מרוחק באמצעות IEX. זה אחד הדפוסים המוכרים בעולם ה־fileless: לא מורידים קובץ “תוכנה”, אלא מורידים טקסט או סקריפט ומריצים אותו בזיכרון. מכאן הסקריפט יוצר קשר עם שרת התוקף ומתחיל למשוך רכיבים נוספים לפי הצורך.
בשלב הבא נמשך משאב נוסף, כולל קובץ test.html שנשמר בדיסק בנתיב C:\Users\Public\Downloads\test.html דרך Invoke-WebRequest עם UseDefaultCredentials ו־UseBasicParsing, כאשר כתובת הבקשה כוללת מזהים בסגנון did/provider. השימוש באישורי מערכת ובפרוקסי מובנה עוזר לתעבורה להיראות לגיטימית בתוך רשת ארגונית, וזה עוד חלק מהתחפושת: “זה נראה כמו גלישה רגילה”.
לאחר מכן בוצעה בקשה נוספת שהחזירה קוד שמחלץ תוכן משורה ספציפית מתוך test.html, לפי הדוח השורה ה־11. הסקריפט איתר ערך בין תגיות <tag>…</tag>, פיצל לפי המחרוזת kendrick, ואז ביצע המרה של “קטעי בינארי” לערכים עשרוניים ואז לתווים, עד שנבנה טקסט המשך. ברגע שהטקסט נבנה, הוא מורץ שוב באמצעות IEX, והשרשרת ממשיכה שכבה נוספת.
כדי להאיץ את הניתוח, החוקרים יצרו דקודר ב־Python והראו שהמשך השרשרת כולל מחרוזת Base64 דחוסה בסגנון IEX (Decompress-Base64-String "…"). כלומר פענוח Base64, חילוץ באמצעות GZip, והרצת הטקסט שהתקבל, שוב בלי קובץ הרצה חיצוני קלאסי. זה יוצר מנגנון שחוזר על עצמו: פענח, חלץ, הרץ, וחוזר חלילה, עם עוד ועוד ערבול בדרך.
לאחר ההדבקה: תקשורת C2, “הרשמה” ופקודות לפי קודים
התשתית התבססה על דומיין יחיד שהוגדר במפורש בתוך הקוד ($global:SRV), והתקשורת עברה ב־HTTPS. מיד לאחר ההרצה בוצעה “הרשמה” (init) שבה נאספו פרטים מזהים כמו דומיין Windows, שם מחשב ושם משתמש. הנתונים עברו עיבוד שכלל דחיסת GZip פעמיים, קידוד Base64, היפוך מחרוזת (reverse) ואובפוסקציה נוספת לפני שליחה לנתיב /16625. לאחר מכן הסקריפט נכנס ללולאת עבודה עם השהיות אקראיות של בערך 2–7 שניות כדי להיראות כמו פעילות אנושית.
למשיכת פקודות מהשרת שימשה פונקציה דמוית Get-Appversion שביצעה POST וקיבלה פקודות כשהן דחוסות ומעורבלות. לאחר פענוח מקומי הוחל מודל של “קודים מספריים” שממפה פעולות, החל מאתחול/רישום מחדש, דרך שינוי קצב polling, ועד הורדת אובייקטים לדיסק והרצת PowerShell מרחוק (RCE) עם החזרת פלט ושגיאות לתוקף. וכשיש RCE, זה כבר לא רק “איסוף מידע”, אלא יכולת לבצע פעולות שמקדמות תנועה רוחבית והעמקת שליטה ברשת.
שיוך, הסוואה, ומה זה אומר לארגונים בישראל
החוקרים מציינים דמיון לדפוסים שיוחסו בעבר ל־MuddyWater, במיוחד בהיבט של שימוש בסביבה שנפרצה כנקודת קפיצה ליעדים נוספים לאורך מספר ימים, אבל ההקבלה אינה חד־משמעית. יש כאן הימנעות מכוונת מכלי RMM ומפלטפורמות אירוח ציבוריות, התמקדות כמעט מוחלטת ב־PowerShell, ושימוש ב־ClickFix כטריגר ראשוני במקום דופרים טיפוסיים. זה מרגיש כמו ניסיון להיות “שקט” ו”נורמלי” עד כמה שאפשר, כדי להחליק מתחת לרדאר.
שכבות ההסוואה כוללות דחיסת GZip כפולה, Base64, reverse, והחלפת + ב־_ לנוחות ב־URL, לצד שימוש בקריאות .NET “נאטיביות”. יש גם שימוש ב־User-Agent מציאותי דרך urlmon.dll, וב־UseDefaultCredentials/Proxy מערכתיים כדי להיראות כמו גלישה לגיטימית. אלה לא טריקים אקראיים, זו אסטרטגיה: לגרום לתעבורה ולפעולות להיראות כמו משתמש אמיתי בתוך הארגון.
המסקנה הפרקטית ברורה: אי אפשר להסתמך רק על חסימת קבצים מצורפים או הורדות. צריך ניטור חכם לפעילות PowerShell חריגה, לזיהוי דפוסי fileless וסקריפטיים, ולתעבורת C2 שנראית “רגילה מדי”. וברגע שעולה חשד — ניהול אירוע אגרסיבי ומהיר, כי כאן הזמן עובד לטובת התוקף, וכל דקה של השתהות יכולה להפוך חדירה נקודתית לאירוע רחב.
תמונות בכתבה נוצרו על ידי בינה מלאכותית.
