Sa mga nakaraang linggo, natukoy ng Israel National Cyber Directorate (INCD) ang isang malawakang phishing campaign na target ang mga organisasyon, gamit ang isang pamamaraan na tila napaka-kredible sa mga tumanggap. Ang sistematikong atake ay iniuugnay sa grupong MuddyWater na konektado sa Iran. Isang espesyal na ulat tungkol sa kampanya ang inilabas ngayon at ipapakita sa Cyber Week (CyberWeek) sa Tel Aviv University.
Bilang bahagi ng mga atake, sinasalakay ng mga banta ang mga lehitimong email account ng organisasyon at ginagamit ang mga ito upang mag-distribute ng mga phishing email na tila tunay – nagtatampok ng wastong Hebreo, nilalaman na nakatuon sa larangan ng aktibidad ng organisasyon, at mga attachment na may kaugnay na filenames. Ang mga email ay may kasamang nakakapinsalang Word document, at kapag nag-click ang gumagamit sa “Enable Content,” ang nakakapinsalang tool ay kumokontrol sa workstation. Ang mga mensahe ay na-customize upang umangkop sa kapaligiran ng organisasyon, kabilang ang paggamit ng mga opisyal na logo, lagda, at dokumento.
Sa pagbubukas ng file, isang dedikadong tool ng atake na kilala bilang BlackBeard ang na-install sa endpoint. Ang medyo bagong malware na ito ay nagbibigay-daan sa umaatake na makakuha ng buong kontrol sa sistema, i-map ang kapaligiran, lampasan ang mga produkto ng seguridad, at mag-download ng karagdagang mga bahagi ng atake kung kinakailangan. Mula sa sandali ng impeksyon, ang email account ng apektadong gumagamit ay ginagamit upang higit pang ipalaganap ang atake sa loob at labas ng organisasyon, umaabot sa libu-libong tumanggap. Ang malware ay gumagamit ng mga stealthy persistence techniques na nagpapahintulot dito na manatiling aktibo nang hindi lumilitaw sa mga lokasyon na karaniwang minomonitor ng mga tool ng seguridad. Ang operational pattern na ito ay lubos na tumutugma sa mga kilalang taktika ng MuddyWater at naobserbahan sa mga nakaraang atake sa Israel.
Ang MuddyWater, na nagpapatakbo sa ilalim ng Ministry of Intelligence ng Iran, ay nakatuon sa pangangalap ng impormasyon at pagtatag ng pangmatagalang presensya sa loob ng mga target na network. Sa mga nakaraang taon, ang grupo ay patuloy na nagtangkang umatake sa mga entidad ng Israel, kabilang ang gobyerno, pangangalagang pangkalusugan, edukasyon, at maliliit hanggang katamtamang laki ng mga negosyo. Pinagsasama ng grupo ang mga sariling binuong tool sa mga distributed command-and-control infrastructures. Ang kanilang mga pagtatangkang atake ay natukoy din sa ibang mga bansa, kabilang ang Turkey, Afghanistan, Pakistan, United Arab Emirates, Iraq, United Kingdom, Azerbaijan, United States, Egypt, at Nigeria.
Hinimok ng Israel National Cyber Directorate ang mga organisasyon sa buong Israel na maging mas mapagmatyag, mahigpit na ipatupad ang ilang kritikal na mga hakbang sa proteksyon, at suriin ang mga na-publish na indicators of compromise (IOCs) at inirekomendang mga hakbang sa mitigasyon.
Ayon sa mga cyber researchers ng INCD, mga may-akda ng ulat: “Ang mga kamakailang atake ay muling nagpapakita ng patuloy na mga pagtatangkang ng mga Iranian actors na makapasok sa mga network ng Israel at magtatag ng pangmatagalang presensya sa loob nito. Ang impersonation, tumpak na wika, at mga lehitimong hitsura ng mga file ay lahat dinisenyo upang lampasan ang likas na instinct ng tao at akitin ang mga gumagamit na buksan ang nakakapinsalang attachment. Ang isang matagumpay na pagpasok ng ganitong uri ay maaaring mabilis na umakyat sa isang malawakang atake sa buong mga organisasyon. Ito ang dahilan kung bakit patuloy na naglalabas ang INCD ng mga update, babala, at praktikal na gabay sa mga organisasyon upang mabawasan ang panganib at palakasin ang pambansang cyber resilience.”
Click here for the full report