קבוצת האקרים איראנית פעלה נגד אזרח ישראלי

This post is also available in: English (אנגלית)

בתוך המתיחות הגוברת בין ישראל לאיראן, גורם דתי בישראל הותקף לאחרונה על ידי קבוצת האקרים איראנית מוכרת, הידועה לשמצה בקמפייני הספירפישינג המורכבים שלה. המתקפה כללה תכנית מחושבת ומסובכת, בה ההאקרים התחזו למי שמזמין את הרב להשתתף בפודקאסט שדן ב"חיים היהודיים בעולם המוסלמי".

חוקרים מProofpoint- זיהו את הקמפיין האחרון, שבוצע על ידי קבוצה המוכרת בכמה כינויים שונים, כולל TA453, APT42, Charming Kitten, Yellow Garuda ו-ITG18.
התוקפים השתמשו בערכת כלים מתוחכמת חדשה לתוכנות זדוניות בשם BlackSmith, שמזריקה PowerShell Trojan  המכונה  AnvilEchoעל פי Cyber News.

ב-22 ביולי 2024, התוקפים שלחו אימיילים בלתי מזיקים לכאורה לרב, כשהם מתחזים למנחה פודקאסט ולמנהל מחקר של המכון לחקר המלחמה (ISW). שיטת הפעולה של ההאקרים הייתה לגרום לרב לבטוח בהם באמצעות סדרה של חילופי מיילים. בהתחלה, הם יצרו אתר מטעה עם הדומיין UnderstandingTheWar[.]org, כדי לייצר אמינות, אך המטרה האמיתית הייתה להערים על הרב ולגרום לו ללחוץ על הקישור הזדוני.

על פי דו"ח של Proofpoint, לאחר היעד הגיב למייל, התוקפים שלחו קישור לDocSend (שירות לשיתוף מסמכים מאובטח) שהיה מוגן בסיסמה. קישור זה הוביל לקובץ טקסט המכיל כתובת URL לפודקאסט המקורי של ISW, אליו התחזו התוקפים. טקטיקה זו נועדה לנרמל מול היעד את התהליך של לחיצה על קישורים והזנת סיסמאות, מה שיכין אותו כשיישלח הלינק הזדוני בפועל.

באינטראקציות הבאות, ההאקרים שלחו לינק ל-Google Drive המכיל קובץ ZIP בשם "תוכנית לפודקאסט 2024". קובץ ZIP זה הכיל קובץ LNK שכותרתו גם "תוכנית לפודקאסט 2024", שהוסתר מאחורי PDF דמה. קובץ ה-LNK שימש להתקנה של ערכת הכלים של BlackSmith, שטענה את הסוס הטרויאני שהוזכר לעיל.

חוקרי Proofpoint הבחינו כי קבוצת ההאקרים מנסה להתחמק מגילוי על ידי סיבוך שרשרת ההדבקה ושילוב פונקציות זדוניות מרובות לתוך סקריפט PowerShell יחיד. התוכנה הזדונית מותאמת לאיסוף מודיעין ולחילוץ נתונים, לעתים קרובות תוך שימוש בשירותים לגיטימיים כמו Dropbox עבור פעילויות אלה.

מקרה זה שופך אור על הדרכים המתוחכמות שבהן האקרים איראנים תוקפים ישראלים, ומדגיש את הצורך ביישום אמצעי זהירות.