אני מקבל דיווחים על חברות שהמידע שלהם נמחק ע"י תוקפים, לאחר שאלו הצליחו להיכנס לרשת דרך מערכות הגנה המנוהלות ע"י צד ג'.
לא מעט עסקים קטנים וארגונים משתמשים בספקים שונים על מנת שאלה ינהלו עבורם חלק מהציוד.
כך לדוגמא ספק X מנהל את מוצר ה-Forti של עסק Y.
הארגון סומך על הספק שינהל עבורו את המוצר, אך בפועל הספק לא תמיד מעדכן את המוצר לגרסה האחרונה, ותוקפים מנצלים חולשות קיימות, כדי לחדור למוצר ומשם לרשת של הארגון.
מספר ארגונים בישראל נאלצו להתמודד עם מחיקה רחבה של מידע לאחר אירוע שכזה.
עכשיו אתם יכולים להיות צודקים ולהגיד זה אחריות של הספק וכו' וכו'. אבל זה לא משנה. תהיו חכמים, ואם יש לכם מוצר מנוהל, תתקשרו עוד עכשיו לספק שלכם ותוודאו שהמוצר שלכם מעודכן לגרסה האחרונה המפוצ'פצ'ת כדי שלא תהיו הקרבן הבא ברשימה.
https://t.me/CyberSecurityIL/8714
לא מעט עסקים קטנים וארגונים משתמשים בספקים שונים על מנת שאלה ינהלו עבורם חלק מהציוד.
כך לדוגמא ספק X מנהל את מוצר ה-Forti של עסק Y.
הארגון סומך על הספק שינהל עבורו את המוצר, אך בפועל הספק לא תמיד מעדכן את המוצר לגרסה האחרונה, ותוקפים מנצלים חולשות קיימות, כדי לחדור למוצר ומשם לרשת של הארגון.
מספר ארגונים בישראל נאלצו להתמודד עם מחיקה רחבה של מידע לאחר אירוע שכזה.
עכשיו אתם יכולים להיות צודקים ולהגיד זה אחריות של הספק וכו' וכו'. אבל זה לא משנה. תהיו חכמים, ואם יש לכם מוצר מנוהל, תתקשרו עוד עכשיו לספק שלכם ותוודאו שהמוצר שלכם מעודכן לגרסה האחרונה המפוצ'פצ'ת כדי שלא תהיו הקרבן הבא ברשימה.
https://t.me/CyberSecurityIL/8714
👍30❤6🔥3🤣1
האיראנים מטרגטים עיריות בישראל: מחקר של חברת צ'קפוינט מציג כיצד האיראנים מפעילים קמפיין רחב בחודש האחרון כנגד ארגונים בישראל ובאיחוד האמירויות.
לדברי צ'קפוינט, האיראנים מנסים לגשת לסביבות Microsoft 365, תוך התמקדות בעיריות, זאת בשל האחריות של העיריות למתן תגובה מהיר בעת פגיעה של טילים ברחבי העיר (מה שמסייע לאיראנים להבין את היקף הנזק שנגרם).
לפי צ'קפוינט, ישנן אף קורלציות בין העיריות שהותקפו בסייבר לערים שספגו נזק ממתקפות טילים.
המחקר המלא זמין כאן.
https://t.me/CyberSecurityIL/8715
לדברי צ'קפוינט, האיראנים מנסים לגשת לסביבות Microsoft 365, תוך התמקדות בעיריות, זאת בשל האחריות של העיריות למתן תגובה מהיר בעת פגיעה של טילים ברחבי העיר (מה שמסייע לאיראנים להבין את היקף הנזק שנגרם).
לפי צ'קפוינט, ישנן אף קורלציות בין העיריות שהותקפו בסייבר לערים שספגו נזק ממתקפות טילים.
The activity primarily targeted municipalities, which play a critical role in responding to missile-related physical damage. Also, we observe some correlation between the targets of this campaign to cities that were targeted by missile attacks from Iran during March. This suggests the campaign was likely intended to support kinetic operations and Bombing Damage Assessment (BDA) efforts
המחקר המלא זמין כאן.
https://t.me/CyberSecurityIL/8715
👏14❤8🤬7👍5🔥3
חדשות סייבר - ארז דסה
שימו לב - ספריית ה-Javascript הפופולרית Axios (עם 100 מיליון הורדות בשבוע) נפרצה ותוקפים פרסמו גרסה זדונית. הגרסאות הזדוניות שהופצו: axios@1.14.1 axios@0.30.4 plain-crypto-js@4.2.1 פרטים נוספים כאן. https://t.me/CyberSecurityIL/8697
הפריצה ל-Axios - המפתח של הספריה מפרסם פרטים על הפריצה, ומתאר כיצד התוקפים הצלחו להערים עליו.
השרשור המקורי מתחיל כאן, אבל שימו לב לתגובה הזו מהיממה האחרונה.
https://t.me/CyberSecurityIL/8716
השרשור המקורי מתחיל כאן, אבל שימו לב לתגובה הזו מהיממה האחרונה.
https://t.me/CyberSecurityIL/8716
🔥18🤯6👍3❤1
חדשות סייבר - ארז דסה
חברת Mercor, המספקת שירותים לחברות בינה מלאכותית, מדווחת כי היא סובלת ממתקפת סייבר בעקבות הפריצה לספריית LiteLLM.
קבוצת Lapsus$ לוקחת אחריות על גניבת המידע והסחיטה כשהיא טוענת שברשותה 4TB של מידע.
מזכיר שיש קשר ל-TeamPCP.
קבוצת Lapsus$ לוקחת אחריות על גניבת המידע והסחיטה כשהיא טוענת שברשותה 4TB של מידע.
מזכיר שיש קשר ל-TeamPCP.
קבוצת Lapsus מסירה מאתר ההדלפות את חברת Mercor AI.
לאחר שיחה שעשיתי עם Lapsus, אני אומר בזהירות כי נראה שההסרה בוצעה בעקבות תשלום דמי כופר.
https://t.me/CyberSecurityIL/8717
לאחר שיחה שעשיתי עם Lapsus, אני אומר בזהירות כי נראה שההסרה בוצעה בעקבות תשלום דמי כופר.
https://t.me/CyberSecurityIL/8717
🤯15
לינקדין מרגלת אחרי משתמשים?
מחקר מטריד שמפורסם לאחרונה טוען כי לינקדין שותלת קוד JS שאוסף נתונים על תוספים בדפדפן בהם משתמשים עושים שימוש.
לפי המחקר, לינקדין (של מייקרוסופט) ממפה את התוספים שבהם המשתמש עושה שימוש ומייצרת מאגר המחבר בין זהויות, ארגונים ומוצרים. כך לדוגמה, אם גלשתם ללינקדין והארגון שלכם, שנקרא לו Y, משתמש בתוסף מסחרי של חברה X, אז מעכשיו לינקדין יודעת שבחברה Y משתמשים בתוסף X.
ללינקדין כבר יש מידע על זהויות אמיתית של משתמשים והיכן כל אחד עובד, ולכן החיבור בין מקום העבודה לשימוש בכלים מסחריים נותן לה ערך במיפוי הצרכים של המשתמש וכו'.
מלבד הנתונים אודות אלפי תוספים, הסקריפט של לינקדין אוסף מידע נוסף על נתוני המחשב של המשתמש כגון זיכרון, אזור זמן, שפה, מצב סוללה ועוד.
בתגובה לפניה מאתר BleepingComputer השיבה לינקדין כי המידע נאסף על מנת להגן על משתמשים וכי המחקר נכתב על ידי גורם שהושעה מלינקדין בשל סקרייפינג (איסוף מידע באמצעות בוטים וכדו'.).
המחקר המלא, שקיבל את השם BrowserGate זמין לקריאה כאן.
https://t.me/CyberSecurityIL/8718
מחקר מטריד שמפורסם לאחרונה טוען כי לינקדין שותלת קוד JS שאוסף נתונים על תוספים בדפדפן בהם משתמשים עושים שימוש.
לפי המחקר, לינקדין (של מייקרוסופט) ממפה את התוספים שבהם המשתמש עושה שימוש ומייצרת מאגר המחבר בין זהויות, ארגונים ומוצרים. כך לדוגמה, אם גלשתם ללינקדין והארגון שלכם, שנקרא לו Y, משתמש בתוסף מסחרי של חברה X, אז מעכשיו לינקדין יודעת שבחברה Y משתמשים בתוסף X.
ללינקדין כבר יש מידע על זהויות אמיתית של משתמשים והיכן כל אחד עובד, ולכן החיבור בין מקום העבודה לשימוש בכלים מסחריים נותן לה ערך במיפוי הצרכים של המשתמש וכו'.
מלבד הנתונים אודות אלפי תוספים, הסקריפט של לינקדין אוסף מידע נוסף על נתוני המחשב של המשתמש כגון זיכרון, אזור זמן, שפה, מצב סוללה ועוד.
בתגובה לפניה מאתר BleepingComputer השיבה לינקדין כי המידע נאסף על מנת להגן על משתמשים וכי המחקר נכתב על ידי גורם שהושעה מלינקדין בשל סקרייפינג (איסוף מידע באמצעות בוטים וכדו'.).
המחקר המלא, שקיבל את השם BrowserGate זמין לקריאה כאן.
https://t.me/CyberSecurityIL/8718
🤯40🤔14❤13👍2🤬2😈2
בוקר טוב ומועדים לשמחה.
שימו לב לקמפיין פישינג תוך התחזות לביטוח לאומי.
הקמפיין מופץ באמצעות סמס, ובלחיצה על הקישור מופנים לאתר מתחזה שאוסף פרטים על מזהים מכל הבא ליד (כרטיסי אשראי, תאריך הנפקת ת.ז, דרכון, תאריך יציאה אחרונה מהארץ, חשבון בנק ועוד ועוד).
בכדי להגביר אמינות, בסוף התהליך, המשתמש מועבר לאתר הרשמי של ביטוח לאומי.
נראה כי התוקפים גם מחזיקים במאגר של ת.ז ושמות של אזרחים כי במהלך הפישינג התוקף עושה שימוש בשם של האזרח לאחר הקשת מספר הזהות.
אינדיקטור:
תודה לצבי אדלר שהפנה את תשומת ליבי לנושא.
https://t.me/CyberSecurityIL/8719
שימו לב לקמפיין פישינג תוך התחזות לביטוח לאומי.
הקמפיין מופץ באמצעות סמס, ובלחיצה על הקישור מופנים לאתר מתחזה שאוסף פרטים על מזהים מכל הבא ליד (כרטיסי אשראי, תאריך הנפקת ת.ז, דרכון, תאריך יציאה אחרונה מהארץ, חשבון בנק ועוד ועוד).
בכדי להגביר אמינות, בסוף התהליך, המשתמש מועבר לאתר הרשמי של ביטוח לאומי.
נראה כי התוקפים גם מחזיקים במאגר של ת.ז ושמות של אזרחים כי במהלך הפישינג התוקף עושה שימוש בשם של האזרח לאחר הקשת מספר הזהות.
אינדיקטור:
https[:]//m3ynrlpb[.]pages[.]devתודה לצבי אדלר שהפנה את תשומת ליבי לנושא.
https://t.me/CyberSecurityIL/8719
🤬23👍15❤4🔥3🤯1
בהמשך היום אפרסם כאן ראיון שעשיתי עם קבוצת LAPSUS 🛡️
שאלתי על החיבור ל-ShinyHunters, על הקמפיין שרץ עכשיו עם TeamPCP ועוד.
בינתיים, מוזמנים לקרוא ראיונות קודמים שקיימתי, כאן.
שאלתי על החיבור ל-ShinyHunters, על הקמפיין שרץ עכשיו עם TeamPCP ועוד.
בינתיים, מוזמנים לקרוא ראיונות קודמים שקיימתי, כאן.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🤯8
לפי דיווח של International Cyber Digest קבוצת TeamPCP תקפה את חברת Illusive Networks הישראלית.
החברה הישראלית שעוסקת בתחום המלכודות דבש וכדו', נרכשה ע"י Proofpoint ב-2022.
בשלב זה אין אזכור למתקפה מלבד מה שפורסם ע"י International Cyber Digest, כשלטענתם המידע שלהם מגיע מגורמים שהצליחו להשתחל לתוך קבוצת TeamPCP.
https://t.me/CyberSecurityIL/8721
החברה הישראלית שעוסקת בתחום המלכודות דבש וכדו', נרכשה ע"י Proofpoint ב-2022.
בשלב זה אין אזכור למתקפה מלבד מה שפורסם ע"י International Cyber Digest, כשלטענתם המידע שלהם מגיע מגורמים שהצליחו להשתחל לתוך קבוצת TeamPCP.
https://t.me/CyberSecurityIL/8721
🤯3🤬3❤1👍1
ש: בעבר פעלתם יחד עם ShinyHunters תחת השם Scattered LAPSUS$ Hunters, אבל כעת נראה שאתם שוב פועלים בנפרד עם אתרי הדלפות שונים - מה קרה שם, ולמה התפצלתם?
ת: מעולם לא היינו בעלי ברית של ShinyHunters. בפועל, הם כבר לא מה שהם היו במקור. ג'יימס פשוט השתלט על זה.
כיום, הם בעיקר מתחזים שמנסים לנצל שם שכבר לא שייך להם.
ש: TeamPCP הפיצה עדכונים זדוניים דרך ספריות לגיטימיות ופופולריות כמו Trivy, LiteLLM ו-Telnyx - עד כמה לדעתכם שרשרת האספקה היא שברירית, ועד כמה רחוק עוד אפשר לקחת את זה?
ת: ברור שההשפעה הייתה יכולה להיות גדולה הרבה יותר אם הכלים היו "מלוטשים" יותר. זה היה מאפשר התפשטות רחבה משמעותית. אבל החלק הזה לא היה בשליטתנו.
מאז, יחד עם TeamPCP, ארגנו מחדש את התשתית הפנימית שלנו כדי למנוע מצב כזה בעתיד.
ש: אנחנו רואים שקבוצת TeamPCP עברה לשלב שבו היא מנסה להרוויח כסף מהמתקפות תוך שיתוף פעולה אתכם ועם קבוצות אחרות.
איך השותפות הזאת עובדת בפועל?
ת: בתחילה, שיתוף הפעולה היה רק בין LAPSUS$ ל-TeamPCP. בהמשך הם גם התחילו לעבוד עם Vect, שבסופו של דבר המידע שאספה נגנב על ידי גורמים שהתחזו ל-ShinyHunters...
באשר לשיתוף הפעולה שלנו עם TeamPCP, זה דיי מסודר: הם טיפלו בהיבטים הטכניים, אנחנו מקבלים גישה, ועכשיו אנחנו מתמקדים בניצול.
כמה מטרות כבר הותקפו, ועוד קרבנות יושפעו בהמשך.
ש: הפריצה ל-Rockstar ול-GTA 6 מיוחסת ל-Arion Kurtaj, שכעת נמצא תחת צו אשפוז ללא הגבלת זמן - עד כמה הוא היה דמות מרכזית ב-LAPSUS$, וכיצד המעצר שלו שינה את אופן הפעולה של שאר הקבוצה?
ת: אני לא יכול לענות על השאלה הזאת.
ש: ה-FBI שם את LAPSUS על הכוונת, משטרת לונדון עצרה שבעה בני נוער במרץ 2022, והמשטרה הפדרלית בברזיל פתחה במבצע Dark Cloud עם מעצרים נוספים...
איך זה משפיע על הפעילות שלכם?
ת: כל מעצר משפיע על הפעילות שלנו. זה בדיוק מה שהוביל לתקופה ממושכת של חוסר פעילות. אבל עכשיו חזרנו. מה שיבוא בהמשך כבר ידבר בעד עצמו.
ש: הפכתם למוכרים גם בזכות גיוס של Insiders באופן גלוי, תוך הצעת תשלומים גבוהים עבור גישה ל-VPN וכו'.
איך אתם מחליטים על מי אפשר לסמוך, ועד כמה אמיתי החשש שאחד מה-Insiders הוא בעצם מסתנן של גופי אכיפה?
ת: אנחנו סומכים רק על אנשים שיכולים להוכיח באופן ממשי שהם Insiders אמיתיים.
הסיכון תמיד קיים, אבל זה לא משהו שבאמת משפיע על ההחלטות שלנו או מטריד אותנו, אנחנו קבוצה די סגורה.
ש: היה לכם מתקפות נגד מטרות גדולות כמו Microsoft, Okta, Uber וכו'.
אילו טכניקות התבררו כדרך הכניסה הכי טובה עבורכם, ומה ממשיך לגרום לעובדים ליפול בזה?
ת: השיטות היעילות ביותר במשך זמן רב היו MFA ו- Sim Swapping.
כיום, אנחנו מסתמכים יותר גם על Insiders וגם על טכניקות של שיחות טלפון.
עם המידע שיש לנו היום, שהושג ממתקפות שרשרת אספקה, הגישה שלנו כיום טכנית יותר ופחות הנדסה חברתית.
ש: איך אתם רואים את LAPSUS$ מתפתחת בשנתיים הקרובות, ומה, אם בכלל, יגרום לכם לעצור?
ת: ההתפתחות שלנו תימשך באותו כיוון: נראות, השפעה ושיתופי פעולה, במיוחד עם TeamPCP. נמשיך לחשוף ולסחוט חברות.
הדבר היחיד שבאמת יכול לעצור אותנו הוא שינוי מלא בגישה המחשבתית של גופים וארגונים, מה שלא סביר שיקרה.
ש: מה נתן לכם השראה לבחור בדרך הזו?
ת: כסף והנאה, פשוט כך.
ש: האם אתם משתמשים ב-AI במסגרת הפעילות שלכם, ואם כן, איך זה מסייע לכם בשרשרת התקיפה?
ת: אנחנו כמעט שלא משתמשים ב-AI בפעילות שלנו.
משתמשים בעיקר כדי לארגן ולמיין את המידע שאנחנו משיגים.
ש: משהו אחרון שתרצו להגיד לעוקבים בערוץ?
ת:
(ארז: כמובן שאני מציע להימנע מלעשות זאת 😊)
https://t.me/CyberSecurityIL/8722
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤18🔥7🏆4🙏1
This media is not supported in your browser
VIEW IN TELEGRAM
נראה שאתר ILSpy* נפרץ באופן כלשהו והתחיל להפנות משתמשים להורדת תוספים לדפדפן ועוד...
וגם מה הקשר המוזר לישראל...
קיבלתי מכם דיווחים לפני מספר שעות בנושא, לאחר שמשתמשים שגלשו באתר נתקלו ברידיירקט לאתר צד ג' המבקש מהם להוריד תוסף לדפדפן.
בינתיים התוספים אליהם הופנו המשתמשים לא מזוהים כזדוניים ב-VT אבל אין ספק שמשהו כאן חשוד וזה נראה כמו קמפיין זדוני.
אתר ILSpy ירד מהאוויר לזמן מה בשעות האחרונות אבל כרגע הוא שוב באוויר וזה עדיין לא תוקן.
בקיצור סיפור מוזר. מניח שדברים יתבהרו בהמשך.
מצ"ב ווידאו ששלח אלי אחד העוקבים בערוץ.
עדכון: מקבל דיווח כי בחלק מהפעמים בלחיצה על הורדה באתר ILSpy מתבצעת הורדה של קובץ exe שמזוהה ב-VT כזדוני על ידי מנוע אחד, וכן הפניות לפופאפים שונים.
*מוצר ILSpy הוא כלי קוד פתוח לניתוח והרצה לאחור של קבצי .NET
https://t.me/CyberSecurityIL/8723
וגם מה הקשר המוזר לישראל...
קיבלתי מכם דיווחים לפני מספר שעות בנושא, לאחר שמשתמשים שגלשו באתר נתקלו ברידיירקט לאתר צד ג' המבקש מהם להוריד תוסף לדפדפן.
בינתיים התוספים אליהם הופנו המשתמשים לא מזוהים כזדוניים ב-VT אבל אין ספק שמשהו כאן חשוד וזה נראה כמו קמפיין זדוני.
אתר ILSpy ירד מהאוויר לזמן מה בשעות האחרונות אבל כרגע הוא שוב באוויר וזה עדיין לא תוקן.
בקיצור סיפור מוזר. מניח שדברים יתבהרו בהמשך.
מצ"ב ווידאו ששלח אלי אחד העוקבים בערוץ.
עדכון: מקבל דיווח כי בחלק מהפעמים בלחיצה על הורדה באתר ILSpy מתבצעת הורדה של קובץ exe שמזוהה ב-VT כזדוני על ידי מנוע אחד, וכן הפניות לפופאפים שונים.
*מוצר ILSpy הוא כלי קוד פתוח לניתוח והרצה לאחור של קבצי .NET
https://t.me/CyberSecurityIL/8723
👀14❤5👍3🔥2🤯2
שימו לב לחולשה קריטית במוצר FortiClient EMS המנוצלת בפועל על ידי תוקפים מסביב לעולם.
החברה פרסמה עדכון חירום.
החולשה, CVE-2026-35616, משפיעה על גרסאות:
FortiClient EMS 7.4.5/6
https://t.me/CyberSecurityIL/8724
החברה פרסמה עדכון חירום.
החולשה, CVE-2026-35616, משפיעה על גרסאות:
FortiClient EMS 7.4.5/6
https://t.me/CyberSecurityIL/8724
👍7❤1
- תוכן שיווקי -
נטרו מידע מהדבקות Infostealers על כתובות מיילים, שמות משתמשים, ואפילו אתרים בחינם לגמרי!
מספר מחקרים שיצאו בשנה האחרונה מציעים על עלייה משמעותית בשימוש ב-Infostealers ע"י קבוצות תקיפה שונות, ואנו רואים את התוצאות בשטח עם מתקפות רחבות על חברות, ארגונים ומשתמשים פרטיים.
חברת האדסון רוק, שמנטרת ומתריעה על זיהוי של Infostealers, מאפשרת לכם לנטר בחינם לגמרי שלושה דומיינים, שלושה כתובות דוא"ל ושלושה שמות משתמשים, ולקבל התראות בזמן אמת אם נתוני ההזדהות של הנ"ל דלפו באמצעות Infostealer.
תסגרו לתוקפים את שער הכניסה לפני שהם נכנסים פנימה🛡
ההרשמה בחינם דרך האתר⬇️
https://www.hudsonrock.com
Customer Login > Website Monitor
---------------------------------
מעוניינים לפרסם בערוץ? דברו איתי
נטרו מידע מהדבקות Infostealers על כתובות מיילים, שמות משתמשים, ואפילו אתרים בחינם לגמרי!
מספר מחקרים שיצאו בשנה האחרונה מציעים על עלייה משמעותית בשימוש ב-Infostealers ע"י קבוצות תקיפה שונות, ואנו רואים את התוצאות בשטח עם מתקפות רחבות על חברות, ארגונים ומשתמשים פרטיים.
חברת האדסון רוק, שמנטרת ומתריעה על זיהוי של Infostealers, מאפשרת לכם לנטר בחינם לגמרי שלושה דומיינים, שלושה כתובות דוא"ל ושלושה שמות משתמשים, ולקבל התראות בזמן אמת אם נתוני ההזדהות של הנ"ל דלפו באמצעות Infostealer.
תסגרו לתוקפים את שער הכניסה לפני שהם נכנסים פנימה
ההרשמה בחינם דרך האתר
https://www.hudsonrock.com
Customer Login > Website Monitor
---------------------------------
מעוניינים לפרסם בערוץ? דברו איתי
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥1👌1💯1
This media is not supported in your browser
VIEW IN TELEGRAM
סם אלטמן בראיון:
"הדבר המפחיד ביותר שאנחנו מתכוננים אליו אלו מתקפות סייבר שיבוצעו בעזרת AI.
בשנה הבאה נראה איומי סייבר גדולים מאד שנאלץ להתמודד איתם, ועל הממשלה, מגינים וחברות הסייבר השונות להיות ערוכים ולהשתמש בטכנולוגיה הזו כדי להגן על המערכות שלהם...."
ווידאו מצ"ב. הראיון המלא כאן.
תודה לחיים מחדשות AI שהפנה את תשומת ליבי לסרטון.
https://t.me/CyberSecurityIL/8727
"הדבר המפחיד ביותר שאנחנו מתכוננים אליו אלו מתקפות סייבר שיבוצעו בעזרת AI.
בשנה הבאה נראה איומי סייבר גדולים מאד שנאלץ להתמודד איתם, ועל הממשלה, מגינים וחברות הסייבר השונות להיות ערוכים ולהשתמש בטכנולוגיה הזו כדי להגן על המערכות שלהם...."
ווידאו מצ"ב. הראיון המלא כאן.
תודה לחיים מחדשות AI שהפנה את תשומת ליבי לסרטון.
https://t.me/CyberSecurityIL/8727
👻9👌5❤4🤔3🤣2😈1
זה משוגע לגמרי 🤯
חברת Drift, שפרויקט הקריפטו שלה נפרץ לאחרונה ע"י צפון קוריאה, מפרסמת מאמר חלקי אבל מרתק על איך המתקפה התחילה...
(כזכור, במתקפה נגנבו מטבעות דיגיטליים בשווי של כ-280 מיליון דולר.)
לפי הדיווח של Drift מדובר במתקפה מחושבת ומתוחכמת במיוחד שנמשכה לאורך זמן.
התוקפים התחילו את המתקפה כבר בשנה שעברה, כאשר בכנס קריפטו שנערך ב-2025, התוקפים פנו פיזית לחלק מהמפתחים המרכזיים של Drift במסווה של חברת מסחר המעוניינת להתממשק לפרוטוקול של Drift.
התוקפים המשיכו להיפגש פיזית עם אותן דמויות מפתח בפרויקט במספר הזדמנויות, בכנסים שונים בתחום הקריפטו ובמדינות שונות מסביב לעולם תוך שהם מחזקים מולם את הקשרים.
לפי Drift התוקפים היו מקצועיים, סופר טכניים, עם היסטוריה מקצועית מוכחת, תוך שהם מפגינים בקיאות בהבנה של איך פרוטוקול Drift פועל.
מיד אחרי הפגישה הראשונה הם הקימו קבוצת טלגרם משותפת, שם דנו יחד עם Drift כיצד יתבצע החיבור בין חברת המסחר שלהם לפרוטוקול, בהיבטים הטכניים וכו', שיחות שנמשכו מספר חודשים.
הקשר נמשכים גם במהלך פברואר-מרץ 2026, כולל מפגשים פיזיים, שיתופי פעולה ועוד.
ב-1.4.26, כשהמתקפה יצאה לפועל והמיליונים נגנבו, הושבתה קבוצת הטלגרם וכל התקשורת מול אותה "חברת מסחר" נעלמה.
לפי Drift היו שלושה ווקטורים דרכם נכנסו התוקפים:
1. קוד זדוני ברפו שהועבר לצוות של Drift ואחד המפתחים של Drift עשה לזה Clone.
2. אפליקציית Wallet שאחד המפתחים של Drift התבקש להוריד דרך Test Flight כדי לבדוק את המוצר של "חברת המסחר"
3. חולשה ב-Vscode ו-Cursor שמאפשרת הרצת קוד זדוני רק בפתיחה של קובץ או פרויקט...
המאמר המלא כאן.
https://t.me/CyberSecurityIL/8728
חברת Drift, שפרויקט הקריפטו שלה נפרץ לאחרונה ע"י צפון קוריאה, מפרסמת מאמר חלקי אבל מרתק על איך המתקפה התחילה...
(כזכור, במתקפה נגנבו מטבעות דיגיטליים בשווי של כ-280 מיליון דולר.)
לפי הדיווח של Drift מדובר במתקפה מחושבת ומתוחכמת במיוחד שנמשכה לאורך זמן.
התוקפים התחילו את המתקפה כבר בשנה שעברה, כאשר בכנס קריפטו שנערך ב-2025, התוקפים פנו פיזית לחלק מהמפתחים המרכזיים של Drift במסווה של חברת מסחר המעוניינת להתממשק לפרוטוקול של Drift.
התוקפים המשיכו להיפגש פיזית עם אותן דמויות מפתח בפרויקט במספר הזדמנויות, בכנסים שונים בתחום הקריפטו ובמדינות שונות מסביב לעולם תוך שהם מחזקים מולם את הקשרים.
לפי Drift התוקפים היו מקצועיים, סופר טכניים, עם היסטוריה מקצועית מוכחת, תוך שהם מפגינים בקיאות בהבנה של איך פרוטוקול Drift פועל.
מיד אחרי הפגישה הראשונה הם הקימו קבוצת טלגרם משותפת, שם דנו יחד עם Drift כיצד יתבצע החיבור בין חברת המסחר שלהם לפרוטוקול, בהיבטים הטכניים וכו', שיחות שנמשכו מספר חודשים.
הקשר נמשכים גם במהלך פברואר-מרץ 2026, כולל מפגשים פיזיים, שיתופי פעולה ועוד.
ב-1.4.26, כשהמתקפה יצאה לפועל והמיליונים נגנבו, הושבתה קבוצת הטלגרם וכל התקשורת מול אותה "חברת מסחר" נעלמה.
לפי Drift היו שלושה ווקטורים דרכם נכנסו התוקפים:
1. קוד זדוני ברפו שהועבר לצוות של Drift ואחד המפתחים של Drift עשה לזה Clone.
2. אפליקציית Wallet שאחד המפתחים של Drift התבקש להוריד דרך Test Flight כדי לבדוק את המוצר של "חברת המסחר"
3. חולשה ב-Vscode ו-Cursor שמאפשרת הרצת קוד זדוני רק בפתיחה של קובץ או פרויקט...
המאמר המלא כאן.
https://t.me/CyberSecurityIL/8728
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯13❤6