נחשף קמפיין ריגול בסייבר שחיפש ארגוני ממשלה וביטחון במזרח אירופה
שרשרת ההדבקה מתחילה בביצוע הורדת קובץ Excel. לאחר מכן יש שימוש ב-Graph API של מיקרוסופט כדי למנף את OneDrive כשרת פקודה ובקרה
עמי רוחקס דומבה
| 26/01/2022
bigstock
צוות מחקר האיומים של חברת trellix זיהה קמפיין ריגול רב-שלבי המכוון לפקידי ממשל בכירים המפקחים על מדיניות הביטחון הלאומי ויחידים בתעשיית הביטחון במזרח אירופה.
שרשרת ההדבקה מתחילה בביצוע הורדת קובץ Excel, ככל הנראה נשלח אל הקורבן באמצעות דואר אלקטרוני, אשר מנצל פגיעות של ביצוע קוד MSHTML מרחוק (CVE-2021-40444) כדי להפעיל קובץ הפעלה זדוני בזיכרון.
״המתקפה משתמשת בתוכנה זדונית בשם Graphite מכיוון שהיא משתמשת ב-Graph API של מיקרוסופט כדי למנף את OneDrive כשרת פקודה ובקרה - טכניקה שהצוות שלנו לא ראה בעבר. יתר על כן, ההתקפה פוצלה למספר שלבים כדי להישאר מוסתרת ככל האפשר״, נכתב בפרסום.
ייתכן שאחד ממסמכי הפיתוי (ששמו "parliament_rew.xlsx") נועד לכוון לעובדי ממשלה. מלבד התמקדות בישויות ממשלתיות, נראה כי היריב הזה כיוון גם לתעשייה ביטחונית. מסמך נוסף בשם "Missions Budget.xlsx" הכיל את הטקסט "משימות ומבצעים צבאיים ואזרחיים" ואת התקציבים בדולרים עבור הפעולות הצבאיות בחלק מהמדינות לשנים 2022 ו-2023.
״יתרה מכך, מהטלמטריה שלנו ראינו גם שפולין ומדינות אחרות במזרח אירופה היו יעד השחקנים מאחורי הקמפיין הזה״, מוסיפים בפרסום. ״רשימת הקורבנות המלאה של אינה ידועה, אך מסמכי הפיתוי מראים כי הפעילות מתרכזת באזורים ותעשיות ספציפיות. בהתבסס על השמות, התוכן של קבצי האקסל הזדוניים והטלמטריה שלנו, נראה שהתוקפים מכוונים למדינות במזרח אירופה והתעשיות הנפוצות ביותר הן הגנה וממשל.״
שני דומיינים ששימשו את הקמפיין רשומים בסרביה ושוודיה.
שרשרת ההדבקה מתחילה בביצוע הורדת קובץ Excel. לאחר מכן יש שימוש ב-Graph API של מיקרוסופט כדי למנף את OneDrive כשרת פקודה ובקרה
bigstock
צוות מחקר האיומים של חברת trellix זיהה קמפיין ריגול רב-שלבי המכוון לפקידי ממשל בכירים המפקחים על מדיניות הביטחון הלאומי ויחידים בתעשיית הביטחון במזרח אירופה.
שרשרת ההדבקה מתחילה בביצוע הורדת קובץ Excel, ככל הנראה נשלח אל הקורבן באמצעות דואר אלקטרוני, אשר מנצל פגיעות של ביצוע קוד MSHTML מרחוק (CVE-2021-40444) כדי להפעיל קובץ הפעלה זדוני בזיכרון.
״המתקפה משתמשת בתוכנה זדונית בשם Graphite מכיוון שהיא משתמשת ב-Graph API של מיקרוסופט כדי למנף את OneDrive כשרת פקודה ובקרה - טכניקה שהצוות שלנו לא ראה בעבר. יתר על כן, ההתקפה פוצלה למספר שלבים כדי להישאר מוסתרת ככל האפשר״, נכתב בפרסום.
ייתכן שאחד ממסמכי הפיתוי (ששמו "parliament_rew.xlsx") נועד לכוון לעובדי ממשלה. מלבד התמקדות בישויות ממשלתיות, נראה כי היריב הזה כיוון גם לתעשייה ביטחונית. מסמך נוסף בשם "Missions Budget.xlsx" הכיל את הטקסט "משימות ומבצעים צבאיים ואזרחיים" ואת התקציבים בדולרים עבור הפעולות הצבאיות בחלק מהמדינות לשנים 2022 ו-2023.
״יתרה מכך, מהטלמטריה שלנו ראינו גם שפולין ומדינות אחרות במזרח אירופה היו יעד השחקנים מאחורי הקמפיין הזה״, מוסיפים בפרסום. ״רשימת הקורבנות המלאה של אינה ידועה, אך מסמכי הפיתוי מראים כי הפעילות מתרכזת באזורים ותעשיות ספציפיות. בהתבסס על השמות, התוכן של קבצי האקסל הזדוניים והטלמטריה שלנו, נראה שהתוקפים מכוונים למדינות במזרח אירופה והתעשיות הנפוצות ביותר הן הגנה וממשל.״
שני דומיינים ששימשו את הקמפיין רשומים בסרביה ושוודיה.
