סיפור משוגע שמביאה חברת האדסון רוק 🤯

האקר מצפון קוריאה, השתחל כעובד בכיר לתוך בורסת הקריפטו האמריקאית Gate.us. וגם, מה הקשר להדבקה ההמונית דרך ספריית הקוד הפתוח Polyfill...

חברת האדסון רוק (הישראלית) ניתחה לוגים של אינפוסטילר ממחשב שהודבק בנוזקה באוגוסט 2024. מחשב שהיה שייך להאקר שעובד עבור הממשל בצפון קוריאה....

בניתוח של הלוגים התגלה כי מאחורי המתקפה על Polyfill, שיוחסה בהתחלה לסין, עומדים בכלל האקרים מצפון קוריאה שפעלו מתוך קבוצת תקיפה סינית.

עוד התגלה כי ההאקר הצפון קוריאני הזה הצליח להשתחל כעובד בכיר לתוך בורסת הקריפטו האמריקאית Gate.us, תחת זהות בדויה, כשהוא לוקח חלק פעיל בפגישות עם חברת Sumsub, במהלכן הוגדר תהליך ההזדהות (KYC) של לקוחות הבורסה.
הפגישות עסקו באפיון, בהגדרות ובדרכים לתפוס פושעים בדיוק כמוהו.... 🤦‍♂️

The actor is literally positioned inside a US crypto exchange, directing the implementation of the very AML and KYC tools (Sumsub and Elliptic) designed to keep sanctioned actors like themselves out of the global financial system.

מסתבר שהמציאות עולה על כל דמיון והאירוע מכיל עוד המון פרטים מעניינים, הכתבה המלאה כאן

https://t.me/CyberSecurityIL/8610

🌎כמה אירועי סייבר מסביב לעולם:

- חברת Telus Digital מדווחת על דלף מידע לאחר מתקפת כופר שבוצעה ע"י קבוצת ShinyHunters. התוקפים טענו כי הם גנבו 1 petabyte של מידע (!) ודרשו 65 מיליון דולר דמי כופר אך החברה התעלמה מהאיומים שלהם.

- חולשה SQLi בתוסף הוורדפרס Ally של חברת אלמנטור (הישראלית) משפיעה על כ-250,000 אתרים. החולשה, CVE-2026-2413 (רמת סיכון גבוהה), מאפשרת גניבת מידע ללא הזדהות.
החולשה תוקנה בגרסה 4.1.0 והחוקר תוגמל ב-800$.

- גוגל מדווחת כי בשנת 2025 היא שילמה לחוקרים באונטי מצטבר של 17 מיליון דולר.

- חברת England Hockey מדווחת כי היא חוקרי חשד לאירוע סייבר לאחר שפורסמה כקרבן ע"י קבוצת AiLock.

- קבוצת תקיפה המשוייכת לאיראן טוענת כי פרצה לפרלמנט באלבניה, הקבוצה מפרסמת מסמכים מיילים המעידים לכאורה על הפריצה.

https://t.me/CyberSecurityIL/8611

חברת צ'קפוינט מפרסמת מחקר עדכני על הפעילות של קבוצת הנדלה, כולל אינדיקטורים 👇

https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/

https://t.me/CyberSecurityIL/8612

😕חלק מהתשובות שקיבלתי בחודש האחרון מארגונים שניסיתי לדווח להם על אירוע סייבר
(אלו לא היו בוטים, ואלו היו הודעות שקיבלתי אחרי שכבר שלחתי להם את הדיווח הראשוני):

רגע, אתה מעוניין לרכוש את השירותים שלנו?

האתר שלנו למעלה והכל תקין (דיווח על דלף מידע)

אתה צריך לפנות לשירות לקוחות במספר xxx שלוחה yy

לא מדובר בקוד זדוני אלא בהגנה מפני בוטים (דיווח על קמפיין ClickFix...)

וזו עוד סיבה למה צריך להיות באתר שלכם אפשרות לדווח ישירות לאיש אבט"מ, או לכל הפחות להכשיר את צוותי השירות שלכם איך להגיב לפניות כאלו.

שבת שלום 😊

🌎 כמה אירועי סייבר מסביב לעולם:

- רשת Loblaw הקנדית מדווחת ללקוחות על דלף מידע.

- חברת Starbucks מדווחת על דלף מידע של מאות לעובדים לאחר גישה בלתי מורשית למאגרי החברה.

- גוגל משחררת עדכון לכרום הסוגר שתי חולשות Zero-Day המנוצלות בפועל מסביב לעולם.
גרסאות מתוקנות:

Windows (146.0.7680.75)
macOS (146.0.7680.76)
Linux systems (146.0.7680.75)

- היורופול מדווח על מבצע Synergia III במסגרתו הושבתו 45 אלף כתובות IP, בוצעו מעצרים ונתפסו מכשירים שונים ששימשו למתקפות סייבר.

- בית החולים Independent Public Regional Hospital שבפולין מדווח כי נאלץ להשבית את מערכות המחשוב בשל מתקפת סייבר.

https://t.me/CyberSecurityIL/8617

סיכום חדשות השבת - מבצע שאגת הארי 🇮🇱

- קבוצות תקיפה שעד כה התמקדו בישראל ממשיכות לתקוף מדינות נוספות, ולא רק בטילים.
כך לדוגמא קבוצת התקיפה Nasir שגם משוייכת לאיראן טענה כי תקפה את חברת את הנפט והגז Dubai Petroleum. תמונה מצ"ב (מדובר באותה קבוצה שבעבר טענה למתקפה על טלדור, יש אומרים שזו עוד תחפושת של הנדלה...)

- קבוצת הנדלה ממשיכה למתג מידע ישן שגנבה כמתקפות חדשות, כשהיא טוענת לפרסום מידע של חיילים (מהמתקפה הישנה על אתרי דרושים) ושל בכירים בצבא (מהמתקפה על INSS).

- קבוצת אנונימוס ממשיכה לפרסם סרטונים המעידים לכאורה על מחיקה של קבצים מארגונים שונים בישראל.

- קבוצת בני ישמעאל (זוכרים?) טוענת כי תקפה חברה המספקת שירותי בניית אתרים ואיקומרס. הקבוצה טוענת לגניבה של 60GB אך מספקת מעט מאד הוכחות.

- קבוצת תקיפה המשיכו במתקפות דידוס חסרות משמעות, שום דבר רציני.

https://t.me/CyberSecurityIL/8618

- תוכן שיווקי -

פתרון AdminByRequest ל-macOS - הסוף לעידן משתמשי Admin במחשבי מק 🍏

מי שמנהל מחשבי Mac בארגון יודע: מפתחים, DevOps וצוותי תמיכה חייבים אדמין.

פתרון AdminByRequest משנה את התמונה ומבטל צורך בהרשאות אדמין בסביבת macOS בלי לשבור תהליכי עבודה ✅

מה הפתרון נותן?

🔐 הסרת הרשאות אדמין לכל משתמשי הארגון - כולל מפתחים.

👥 ביטול חשבונות אדמין מקומיים

🎧 הסרת הרשאות אדמין מצוות התמיכה

🛡הגנת OPSWAT מובנית ללא עלות בכל Elevation.

⚙️ סוכן של 4mb בלבד בתחנה - פועל ללא כל השפעה על ביצועים.

🍏 אופציה להטמעת מוצר השתלטות (Remote Control) באותו סוכן, כולל הקלטת סשן.
אינטגרציות מובנות עם - Okta, Jamf, Kandji, Intune, Entra ID

לפרטים נוספים:
Shlomi@oncld.io

--------------------------------
מעוניינים לפרסם בערוץ? דברו איתי

איראן נכנסת ליום ה-17 של השבתת האינטרנט במדינה.

כמעט 400 שעות שהאינטרנט באיראן מושבת כמעט לחלוטין ע"י המשטר ונראה, שהמשטר מהדק כעת את החסימה אפילו יותר.

המשטר באיראן שולט על כל תעבורת האינטרנט כך שבתקופות של מלחמות או מחאות הם פשוט מורידים את השאלטר ולמעשה חוסמים את הגישה לאזרחים לרשת האינטרנט העולמית בכדי להגביל את הפרסומים התקשורתיים של האירועים.

במקביל, באיראן פועלת רשת תקשורת פנימית, מעין אינטרא-נט לאומי (NIN).
זוהי למעשה רשת פנימית שממשיכה לפעול גם בזמן ניתוק מהאינטרנט הגלובלי, ומאפשרת לתושבים גישה לאתרים שהם תחת שליטת המשטר (בנקים וכדו').

מלבד רשת NIN, באיראן מפעילים רשימה של "סימים לבנים" להם ניתנת גישה רחבה יותר לאינטרנט למרות המגבלות הכלליות.
הסימים האלו מיועדים עבור אנשי משטר וגורמים נוספים.

ביומיים האחרונים מדווח כי הגישה לרשת NIN סובלת משיבושים נרחבים וכך גם הגישה ללא מעט סימים לבנים.

🛰️ ומה לגבי סטארלינק? כתבתי על זה כאן בעבר.
נראה כי המשטר ממשיך לשבש את הפעילות של סטארלינק במדינה, אך יש דיווחים כי חלק מהמשתמשים עדיין מצליחים לעשות שימוש בשירות.

https://t.me/CyberSecurityIL/8629