חברת הסייבר הישראלית סיגניה חושפת פרטים חדשים אודות קבוצת תקיפה המכונה קסבניירו (Casbaneiro), שמתמקדת בתקיפת ארגונים ברחבי העולם מאז שנת 2018, כשבמוקד נמצא המגזר הפיננסי באמריקה הלטינית.

צוות החוקרים של סיגניה חושף בהתבסס על התצפיות והחקירות שביצע לאחרונה, כי ההאקרים שמאחורי קמפיין התקיפה עודם פעילים, אף שביצעו מספר שינויים בשיטות התקיפה ובתשתית הטכנולוגית שבה הם משתמשים על מנת לתקוף את היעד. בסיגניה ממשיכים לעקוב אחר פעילות קסבניירו שכבר הוגדרה בתעשייה כ"איום מהותי" על ארגונים פיננסיים בעולם.

המחקר שפורסם ע"י סיגניה כולל מידע המאפשר לארגונים להתגונן מפני קבוצת התקיפה ומומלץ להטמיע את המזהים וחוקי הניטור במערכות ההגנה הארגוניות. בבלוג שפרסמה סיגניה, מצורפות רשימות של מזהים (IOCs) אשר שימשו את קבוצת התקיפה בגל האחרון, וכן מספר חוקי ניטור (YARA) המאפשרים זיהוי של גרסאות חדשות של כלי התקיפה, אותם ניתן להטמיע במערכות ההגנה של הארגון. הטמעה של אמצעים אלו עשויה לאפשר לארגון זיהוי מיידי של ניסיונות תקיפה של הרשת הארגונית ובכך למנוע גישה של התוקף לרשת.

עמיר סדון, דירקטור מחקר בחברה, מסביר כי ההאקרים משתמשים במייל פישינג כנגד עובדים ועובדות בארגונים, על מנת לשתול בהם "סוס טרויאני" שמאפשר לתוקף לאסוף מידע רגיש ממחשבי הקצה של הארגון. בין היתר, ההאקרים גונבים קבצים מסווגים, צילומי מסך, פרטי משתמש, סיסמאות והקשות מקלדת.

עוד ב-

אזהרה: כיצד סירי ואלכסה יכולות לשמש ככלי תקיפה להאקרים?

לכתבה המלאה

לדברי סדון, "מדובר בקבוצה ותיקה יחסית המוכרת עוד משנת 2018, אשר דרכי הפעולה שלה פורטו במחקר קודם שפורסם ע"י סיגניה. כעת, אנו מזהים שהקבוצה עדיין פעילה וכי שיטות הפעולה שלה יחסית דומות, אך כוללים שינויים, בין היתר בדרך הפעולה שבה נשלחים האימיילים לנתקפים. בעוד שבגל התקיפות הקודם, שלחו ההאקרים אימיילים המצוידים בקובץ PDF 'נגוע', כעת מדובר בקובץ html לגיטימי לכאורה אשר מוביל להתקנת הסוס הטרויאני". בנוסף, מפרסמת סיגניה כי התוקפים החלו לעשות שימוש בשיטה מוכרת להסלמת הרשאות על מחשב הנתקף וכן כי נמצאו עדויות פורנזיות המקשרות את גל התקיפות הנוכחי לגל התקיפות הקודם של קבוצת התקיפה.