איראן הגדילה היקף המתקפות בסייבר כנגד ישראל

קבוצות APT (ר"ת מתקפות עקביות וממוקדות) איראניות הגבירו את פעילותן נגד ישראל בחודשים האחרונים, כך לפי מחקר חדש של ESET. המחקר מתאר את פעולותיהן של קבוצות APT שתועדו על ידי חוקרי ESET מאוקטובר 2024 ועד מרץ 2025. "בישראל", נכתב בדו"ח, "נמשכת המגמה של תקיפות APT מצד קבוצות איראניות".

חוקרי ESET זיהו קמפיין משולב ומתואם שבוצע בינואר-פברואר השנה על ידי MuddyWater ו-Lyceum – שתיים מהקבוצות המרכזיות המזוהות עם איראן. במסגרת הקמפיין, הותקפה חברה ישראלית בתחום הייצור, תוך שימוש בכלי שליטה מרחוק לגיטימיים וגניבת סיסמאות באמצעות Mimikatz – כלי מתקדם לשליפת סיסמאות מהזיכרון של מערכות Windows. בעקבות החדירה, השתלטה Lyceum על המשך הפעילות הזדונית בארגון. בנוסף, זוהו בישראל שני מקרי תקיפה נפרדים בהם נעשה שימוש בתעלות תקשורת מוסוות (reverse tunnels) שפותחו על ידי Lyceum.

במקביל, ציינו החוקרים, קבוצת CyberToufan ביצעה מתקפת נגד כ-50 ארגונים בישראל, במסגרתם היא השיגה גישה למשאבי הארגון, החליפה את שומרי המסך במחשבים ואפילו הדפיסה חומרי תעמולה במדפסות המחוברות.

"הנתונים הללו ממחישים את רמת התחכום והכוונה הפוליטית של חלק מהקבוצות הפועלות נגד ישראל", ציינו החוקרים.

📄 New ESET APT Activity Report is out!

Oct 2024–Mar 2025 saw intensified Russian cyberattacks on Ukraine, new ZEROLOT wiper, and growing espionage from China & North Korea. Dive into the trends shaping today’s cyber landscape.#ESET #ProgressProtected #APT #CyberThreats

— ESET (@ESET) May 19, 2025

ממצאים אודות תקיפות בשאר העולם

ז'אן-יאן בוטין, מנהל תחום מחקר האיומים ב-ESET. צילום: יח"צ

ובשאר העולם: קבוצת Gamaredon שמרה על מקומה כגורם האיום ההרסני ביותר מול אוקראינה. היא שיפרה את יכולות ההסתרה של הנוזקות שלה והשיקה את Pterobox, נוזקה לגניבת קבצים שמתבססת על Dropbox. "קבוצת Sandworm הידועה לשמצה התמקדה בעיקר בפריצה של תשתיות חשמל אוקראיניות", אמר ז'אן-יאן בוטין, מנהל תחום מחקר האיומים ב-ESET, "היא הפעילה את נוזקת המחיקה ZEROLOT באוקראינה. התוקפים ניצלו כלל מדיניות קבוצתי ב-Active Directory בארגונים שהותקפו".

קבוצת Sednit שיפרה את היכולות לניצול חולשות Cross-Side Scripting בשירותי דוא"ל מקוונים, והרחיבה את מבצע RoundPress, שבתחילה היה מסוגל לתקוף רק את מערכת Roundcube, אך כיום יכול לתקוף גם את המערכות Horde, MDaemon ו-Zimbra. החוקרים חשפו כי הקבוצה הצליחה לנצל חולשת יום-אפס בשרת הדוא"ל של MDaemon (שתויגה בשם CVE-2024-11182) ולהשתמש בה כדי לתקוף חברות אוקראיניות.

כמה מהמתקפות של קבוצת Sednit שכוונו נגד חברות ביטחוניות בבולגריה ובאוקראינה, השתמשו בקמפייני דיוג חנית (Spearphishing) כפיתיון. קבוצה אחרת המזוהה עם רוסיה, RomCom, הציגה יכולות מתקדמות בהפעלת כלי פריצה המנצלים חולשות יום-אפס בדפדפן פיירפוקס של מוזילה (CVE-2024-9680) וב-חלונות של מיקרוסופט (CVE-2024-49039).

באסיה, קבוצות APT המזוהות עם סין המשיכו בקמפיינים שלהן כנגד מוסדות ממשלתיים ואקדמיים. במקביל, קבוצות המזוהות עם צפון קוריאה הגבירו את פעילותם כנגד דרום קוריאה, והשקיעו מאמץ משמעותי בתקיפת אנשים פרטיים, חברות, שגרירויות ואנשי סגל דיפלומטי.

קבוצת Mustang Panda שמרה על מקומה כקבוצה הפעילה ביותר, ותוקפת מוסדות ממשלתיים וחברות תעבורה ימית באמצעות נוזקות טעינה בשם Korplug וכונני USB זדוניים.

קבוצת DigitalRecyclers המשיכה בתקיפת יישויות ממשלתיות באיחוד האירופי, השתמשה ברשת האנונימיזציה KMA VPN והפעילה את הדלתות האחוריות RClient, HydroRShell ו-GiftBox.

קבוצת PerplexedGoblin השתמשה בדלת אחורית חדשה למטרות ריגול, אותה חוקרי ESET כינו בשם NanoSlate, כדי לתקוף ישות ממשלתית במרכז אירופה, בזמן שקבוצת WebWorm תקפה ארגון ממשלתי סרבי באמצעות SoftEther VPN, "מה שמצביע על הפופולריות ההולכת וגדלה של הכלי זה בקרב קבוצות המזוהות עם סין".

בחלק אחר של אסיה, גורמי איום מצפון קוריאה הפעילו בעיקר קמפיינים בעלי מטרות כספיות. קבוצת DeceptiveDevelopment הרחיבה את טווח המטרות שלה באופן משמעותי, והשתמשה בהצעות עבודה מזויפות בתחומי המטבעות הדיגיטליים, הבלוקצ'יין והכספים. הקבוצה השתמשה בטכניקות הנדסה חברתית חדשניות, כדי להפיץ את נוזקת WeaselStore המיועדת לפלטפורמות רבות ומגוונות.

גניבת המטבעות הדיגיטליים מבייביט (ByBit), שה-FBI שייך לקבוצת ה-APT בשם TraderTraitor, כללה פריצה לשרשרת האספקה באמצעות Safe{Wallet} והביאה לאובדן של כ-1.5 מיליארד דולרים. 

במקביל, קבוצות אחרות מצפון קוריאה הראו עליות פתאומיות בקצב הפעילות שלהן: בתחילת 2025, הקבוצות Kimusky ו-Konni חזרו לקצב הפעילות הרגיל שלהן לאחר ירידה משמעותית בסוף 2024, והעבירו את המיקוד שלהן מעמותות ומומחי צפון קוריאה דוברי אנגלית – לישויות וצוותים דיפלומטיים מדרום קוריאה. קבוצת Andariel חזרה לפני השטח לאחר שנה של חוסר פעילות, באמצעות מתקפה מתוחכמת נגד חברת תוכנה תעשייתית דרום קוריאנית.