חקירה בלעדית של ארז דסה וערוץ חדשות סייבר חושפת קבוצת תקיפה מתוחכמת חדשה שפועלת נגד חברות הייטק ישראליות בחודשים האחרונים. הקבוצה, שקיבלה את הכינוי "Desert Viper", משתמשת בטכניקות שלא נצפו קודם לכן.
הממצאים המרכזיים
במהלך חקירת אירוע אבטחה בחברת הייטק ישראלית, זיהינו פעילות חריגה שהובילה אותנו לחשוף את הקבוצה. התוקפים הצליחו לחדור לרשת הארגונית דרך מייל פישינג ממוקד שהתחזה להזמנה לכנס סייבר יוקרתי, מה שמעיד על היכרות מעמיקה עם עולם התוכן של הקורבנות.
"הרמה הטכנית של התוקפים גבוהה מאוד. הם משתמשים בכלים מותאמים אישית (Custom Tools) שנכתבו ב-Rust ו-Go, אשר לא מזוהים כרגע על ידי רוב מערכות ה-EDR והאנטי-וירוס המסחריים."
שיטות התקיפה (TTPs)
- Spear Phishing: שימוש במסמכי Office המכילים מאקרו זדוני המוסתר בתוך קבצי Excel לגיטימיים לכאורה.
- VPN Exploitation: ניצול חולשות Zero-Day במערכות VPN ארגוניות שלא עודכנו.
- Living-off-the-Land: תנועה רוחבית ברשת באמצעות כלים לגיטימיים של Windows (כמו PowerShell ו-WMI) כדי להימנע מזיהוי.
- Exfiltration: הוצאת מידע רגיש החוצה באמצעות טכניקת DNS Tunneling איטית ומוצפנת.
Indicators of Compromise (IOCs)
המלצות להגנה
אנו ממליצים למנהלי אבטחת מידע בארגונים לבצע את הפעולות הבאות באופן מיידי:
- ביצוע עדכון גרסה דחוף לכל מערכות ה-VPN וה-Gateway.
- אכיפת אימות דו-שלבי (MFA) על כל גישה מרחוק.
- הגדרת חוקים ב-Firewall לחסימת תעבורת DNS לשרתים לא מוכרים.
- ביצוע הדרכות מודעות לעובדים בנושא זיהוי מיילים חשודים.
* נמשיך לעדכן בהתפתחויות נוספות סביב קבוצת "Desert Viper". עקבו אחרי הערוצים שלנו בטלגרם לעדכונים בזמן אמת.