שי לכריסמס: מתקפות ממוקדות נגד ארגונים ישראליים

נחשף אשכול איומים חדש, המכוון לתקיפת ארגונים ישראליים. ייחודו של מסע המתקפה הוא שימוש שקרי ומתחזה בחברות אבטחת מידע ישראליות, המציעות לכאורה ייעוץ בתחום הגנת סייבר ותוכנות אנטי-וירוס.

את הקמפיין חשפו חוקרים מצוות APT של SEQRITE Labs – חברת הגנת סייבר הודית ותיקה. אשכול האיומים החדש זכה לשם הקוד UNG0801 והקמפיין – Operation IconCat.

מקור המתקפות, ציינו החוקרים, הוא במערב אסיה, והם לא ציינו את זהות המדינה שאליה שייכים ההאקרים. אלה ממקדים את מתקפותיהם בארגוני טק, במיוחד ספקי שירותי IT, חברות גיוס עובדים וחברות תוכנה.

"ליבת המתקפה הזאת מסתמכת על טריק פסיכולוגי. הטקטיקה של ההאקרים פשוטה ועובדת: הם פועלים למיתוג עצמם כיועצי אבטחה הבקיאים במערכות אנטי-וירוס, וכך מציעים פיתיונות פישינג. המיילים של הפישינג", ציינו החוקרים, "מעוצבים בקפידה, כתובים בשפה העברית על מנת לחקות תקשורת פנים-ארגונית, דוגמת הנחיות למילוי ולהלימה לרגולציות, תדריכי הגנת סייבר, או הזמנות לוובינרים ארגוניים".

טקטיקה מרכזית בקמפיינים היא זיוף ממשקי אנטי-וירוס מוכרים, בעיקר אלה של צ'ק פוינט (Check Point) וסנטינלוואן (SentinelOne) הישראליות, כדי להטעות קורבנות ולגרום להם להוריד את המיילים שמוחבא בהם מטען זדוני.

היזהרו מקובצי וורד ו-PDF לא מזוהים.

החוקרים הבחינו בשתי שרשראות הדבקה החל מאמצע נובמבר 2025. שתי אלו אוחדו תחת מבצע IconCat בשל הנושא המשותף שלהן – התחזות ליועצי אנטי וירוס תוך שימוש בלוגואים של חברות אבטחת מידע מוכרות. הקמפיינים עושים שימוש בצרופות PDF או Word – כדי לפרוס מאוחר יותר שתלים זדוניים.

בקמפיין הראשון מוחדרים למערכות הקורבן שתלי PYTRIC. במסע זה, ההאקרים מתחזים למומחי, יועצי, או עובדי צ'ק פוינט, ודולחים ליעד קובץ PDF זדוני בשם help.pdf. הקובץ נחזה להיות מדריך למשתמשים, והוא מפציר בעובדים להוריד כלי, "סורק אבטחה" מזויף, מדרופבוקס (Dropbox), המוגן בסיסמה "cloudstar".

בתוך הקובץ נמצאות הוראות מפורטות כיצד להפעיל סריקות אבטחה, יחד עם צילומי מסך, הנחזים להיראות אותנטיים. לאחר מכן, הכלי מחצין את השתל הזדוני PYTRIC, שנכתב בפייתון (Python) ו"נארז" באמצעות טכנולוגיית PyInstaller. לפי החוקרים, "ל-PYTRIC יש יכולות מדאיגות, מעבר להתנהגות טיפוסית של נוזקות. ניתוח מגלה שהוא מכיל פונקציות שנועדו לסרוק קבצים בכל המערכת, לבדוק הרשאות מנהל ולבצע פעולות הרסניות, כגון מחיקת נתוני מערכת ומחיקת גיבויים".

החוקרים הוסיפו, כי הכלי גם מתקשר עם שלוחיו ההאקרים דרך בוט טלגרם בשם Backup2040, "מה שמרמז על פעילות שמטרתה שיבוש, הרס ומחיקה, כמו wiper, מוחק, 'מגב' – ולא ריגול".

בקמפיין השני ההאקרים מתחזים למומחי וליועצי סנטינלוואן, והם שולחים לקורבנות מסמכי Word, ובהם שתל זדוני מבוסס Rust בשם RUSTRIC. דוא"ל פישינג מתחזה לקבוצת LM, חברת משאבי אנוש לגיטימית מנתניה, באמצעות הדומיין המזויף lm.co.il. לפי החוקרים, "RUSTRIC מדגימה יכולות סיור מתקדמות. היא בודקת נוכחות של 28 מוצרי אנטי-וירוס ו-EDR (זיהוי ותגובה בנקודות הקצה) שונים, בהם של קראודסטרייק (CrowdStrike), ESET, סופוס (Sophos), Microsoft Defender, וקספרסקי (Kaspersky). בנוסף, הכלי גם מבצע סיורים שקטים במערכות הקורבן, מה שהחוקרים קבעו, כי מצביע על כוונת ריגול, ולא הרס.

"בעוד שנוזקה אחת מתפקדת כ'מגב' (מוחק) והשנייה מתמקדת בריגול, הרי שלשתיהן יש אותו ספר הפעלה למפעילים", סיכמו החוקרים, "למרות שהזיהוי אינו חד-משמעי, הרי שקמפיינים אלה מדגישים מגמה הולכת וגוברת, של שחקני איום שמנצלים את המיתוג החיובי והמצליח של ענף אבטחת הסייבר והשחקנים שפועלים בו – כדי להגדיל את הצלחת פעולות הפישינג הממוקד שלהם. הקמפיין מדגים כיצד הנדסה חברתית, בשילוב עם תחכום טכני – יכולים לעקוף הגנות אבטחה מסורתיות. על צוותי אבטחה בארשגונים להתייחס לקמפיינים אלה כאל איומים בעדיפות גבוהה – הדורשים חקירה ותיקון מיידיים".

לידיעת הקוראים נדב צפריר מצ'ק פוינט ותומר ויינגרטן מ-סנטינלוואן.