היעד: מנהלים בחברות ביטחוניות
חברת סימנטק זיהתה התקפת פישינג ממוקדת על מספר חברות ביטחוניות בעולם וכאלו מתחום התעופה. הפיתיון היה דו"ח מגמות שנתי של תעשיית הביטחון העולמית
עמי רוחקס דומבה
| 19/05/2011
לפני מספר שבועות, הבחין מומחה אבטחת מידע בסימנטק בהתקפת “פישינג” (spear phishing) שהתמקדה בתעשייה הבטחונית והאווירית בעולם. “זיהינו לפחות 12 ארגונים שונים שהפכו למטרות ממוקדות של התקפה זו. ארגונים אלה כוללים תעופה, בקרת תעבורה אווירית וקבלנים ממשלתיים ובטחוניים”, כותב יוסף ינגהאם בבלוג של סימנטק.
[דוגמא להודעת דואר אלקטרוני כחלק ממתקפת הפישינג]
“בבחירת מטרותיהם, התוקפים זיהו אנשים בתפקידים חשובים, לרבות דירקטורים וסגני נשיאים באמצעות הנדסה חברתית. התוכן של כל הודעות הדוא"ל היה זהה. התוקפים נצלו דו"ח שפורסם בשנת 2012 בנוגע לתחזית של תעשיות התעופה והביטחון כפיתוי. הכוונה של התוקפים הייתה לגרום לזה להיראות כאילו דוא"ל הגיע במקור מהחברה שחברה את הדו"ח.
“הודעות הדואר היו במבנה כאילו הם מועברות על ידי עובדים פנימיים או על ידי אנשים מתוך התעשייה שזוהתה.כאשר קובץ ה-PDF הזדוני שצורף לדוא"ל נפתח, הוא מנסה לנצל את פגיעות Adobe Flash Player CVE-2011-0611 'SWF' קובץ מרחוק ניזק לזיכרון (CVE-2011-0611). אם יצליח, הוא יוריד קבצים זדוניים כמו גם קבצי PDF נקיים כדי לשמור על התחבולה.
“בנוסף לקובץ PDF הנקי, האיום מוריד גרסה זדונית של קובץ svchost.exe. קובץ זה לאחר מכן מוריד גרסה זדונית של ntshrui.dll לתוך ספריית Windows. האיום ממנף טכניקה המכונית DLL search order hijacking (קובץ ntshrui.dll שאינו מוגן על ידי KnownDLLs). כאשר קובץ svchost.exe קורא את קובץ explorer.exe, הוא טוען את קובץ ntshrui.dll הזדוני בתיקיית Windows במקום את קובץ ntshrui.dll הלגיטימי בספריית המערכת של Windows. סימנטק גילתה גם את קבצי ntshrui.dll וגם את svchost.exe כחלק מאיום Backdoor.Barkiofork.
“לגרסה זו של Backdoor.Barikiofork יש את היכולות הבאות: ספירת כונני דיסקים, יצירת קשר עם אנשי הקשר של שרת הפיקוד והשליטה (C & C) בכתובת osamu.update.ikwb.com, חטיפה של מידע מערכת, הורדה וביצוע של עדכונים נוספים.
“קמפיין הפישינג ממשיך להראות התחכום וההכנה של התוקפים, בעיקר איסוף מודיעין על ידי הנדסה חברתית שעוזרת להגיע למטרות איכותיות. ההתקפה ניצלה פגיעות שזוהתה ותוקנה על ידי טלאי כבר בשנת 2011, עובדה המדגישה את הצורך בשימוש בכלי אבטחת דואר אלקטרוני”.
לפני מספר שבועות, הבחין מומחה אבטחת מידע בסימנטק בהתקפת “פישינג” (spear phishing) שהתמקדה בתעשייה הבטחונית והאווירית בעולם. “זיהינו לפחות 12 ארגונים שונים שהפכו למטרות ממוקדות של התקפה זו. ארגונים אלה כוללים תעופה, בקרת תעבורה אווירית וקבלנים ממשלתיים ובטחוניים”, כותב יוסף ינגהאם בבלוג של סימנטק.
[דוגמא להודעת דואר אלקטרוני כחלק ממתקפת הפישינג]
“בבחירת מטרותיהם, התוקפים זיהו אנשים בתפקידים חשובים, לרבות דירקטורים וסגני נשיאים באמצעות הנדסה חברתית. התוכן של כל הודעות הדוא"ל היה זהה. התוקפים נצלו דו"ח שפורסם בשנת 2012 בנוגע לתחזית של תעשיות התעופה והביטחון כפיתוי. הכוונה של התוקפים הייתה לגרום לזה להיראות כאילו דוא"ל הגיע במקור מהחברה שחברה את הדו"ח.
“הודעות הדואר היו במבנה כאילו הם מועברות על ידי עובדים פנימיים או על ידי אנשים מתוך התעשייה שזוהתה.כאשר קובץ ה-PDF הזדוני שצורף לדוא"ל נפתח, הוא מנסה לנצל את פגיעות Adobe Flash Player CVE-2011-0611 'SWF' קובץ מרחוק ניזק לזיכרון (CVE-2011-0611). אם יצליח, הוא יוריד קבצים זדוניים כמו גם קבצי PDF נקיים כדי לשמור על התחבולה.
“בנוסף לקובץ PDF הנקי, האיום מוריד גרסה זדונית של קובץ svchost.exe. קובץ זה לאחר מכן מוריד גרסה זדונית של ntshrui.dll לתוך ספריית Windows. האיום ממנף טכניקה המכונית DLL search order hijacking (קובץ ntshrui.dll שאינו מוגן על ידי KnownDLLs). כאשר קובץ svchost.exe קורא את קובץ explorer.exe, הוא טוען את קובץ ntshrui.dll הזדוני בתיקיית Windows במקום את קובץ ntshrui.dll הלגיטימי בספריית המערכת של Windows. סימנטק גילתה גם את קבצי ntshrui.dll וגם את svchost.exe כחלק מאיום Backdoor.Barkiofork.
“לגרסה זו של Backdoor.Barikiofork יש את היכולות הבאות: ספירת כונני דיסקים, יצירת קשר עם אנשי הקשר של שרת הפיקוד והשליטה (C & C) בכתובת osamu.update.ikwb.com, חטיפה של מידע מערכת, הורדה וביצוע של עדכונים נוספים.
“קמפיין הפישינג ממשיך להראות התחכום וההכנה של התוקפים, בעיקר איסוף מודיעין על ידי הנדסה חברתית שעוזרת להגיע למטרות איכותיות. ההתקפה ניצלה פגיעות שזוהתה ותוקנה על ידי טלאי כבר בשנת 2011, עובדה המדגישה את הצורך בשימוש בכלי אבטחת דואר אלקטרוני”.
