קמפיין פישינג עושה שימוש בפלטפורמת "רווחית" תוך התחזות לספוטיפיי 📱

המייל, שנשלח מהכתובת של רווחית, מפנה את המשתמש לאתר של ספוטיפיי, תוך ניסיון לגרום למשתמש לאפשר גישה לאפליקציה צד ג' לחשבון הספוטיפיי הרשמי של המשתמש (OAuth consent phishing)

אינדיקטור:
https[:]//premium-sp[.]co

תודה למשתמש שהעביר לי את הדיווח 🙏

https://t.me/CyberSecurityIL/8948

- תוכן שיווקי -

לפני שבועות וסופ״ש ארוך - שאלה אחת שכל ארגון צריך לשאול את עצמו: מי שומר על המערכות כשכולם בחופש? 🌟

חגים וסופי שבוע ארוכים הם בדיוק הזמן שבו ארגונים מורידים קצב.

המשרדים שקטים.
הצוותים פחות זמינים.
חלק מהעובדים בחופשה.
ולפעמים גם תגובה לאירוע פשוט לוקחת יותר זמן.

אבל בעולם הסייבר התוקפים לא יוצאים לחופש.

דווקא בזמנים כאלה חשוב לוודא שיש מי שמנטר את סביבת הארגון 24/7, מזהה התחברויות חריגות, פעילות חשודה במייל, ניסיונות גישה לא תקינים, אירועי EDR, פעילות חריגה ב־Microsoft 365, VPN, Firewall וענן ומתריע בזמן כשמשהו באמת דורש טיפול🛡

אירוע קטן שלא רואים בזמן יכול להפוך לאירוע גדול עד שחוזרים מהחג.

שירות ה־SOC של CyberSafe מספק ניטור אבטחת מידע רציף מסביב לשעון - גם בלילות, גם בסופי שבוע וגם בחגים 🏪

כדי שהארגון יוכל לצאת לחופשה בראש שקט, בלי להשאיר את סביבת הסייבר ללא השגחה.

💚חג שבועות שמח ושקט.
מערך CyberSafe SOC העיניים של הארגון גם כשהארגון בחופש.

📩 sales@cybersafe.co.il
📞 מורן | 077-5509948
🌐 cybersafe.co.il

---------------------------------
מעוניינים לפרסם בערוץ? דברו איתי

כמה עשרות אתרי אינטרנט של עסקים בישראל הושחתו עם הודעה איראנית.

הם רוצים שהבחירות בישראל יהיו בפיקוח האו"ם.... 🤦‍♂️

https://t.me/CyberSecurityIL/8957

הראיון עם TeamPCP יפורסם היום בשעה 15:00🎙️

🔑מייקרוסופט מפרסמת עדכון הסוגר את חולשת Yellowkey, תוך שהיא מציינת שהחוקר פרסם POC ציבורי תוך שהוא מפר את הנהלים של דיווח מסודר...

Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as "YellowKey". The proof of concept for this vulnerability has been made public violating coordinated vulnerability best practices

הדיווח המלא כאן

https://t.me/CyberSecurityIL/8966

🐱🎙🛡️ראיון עם קבוצת TeamPCP - בלעדי לערוץ חדשות סייבר.

➖➖➖➖➖➖

הערת פתיחה מ-TeamPcp:
אני רק אגיד שאתה מדבר עם T, אז אני מדבר בשם עצמי ולא בשם שאר חברי הקבוצה.

ש: חשבון ה-X שלכם (שכבר נחסם), הציג במיקום את ישראל ונפתח באוקטובר 2023.
בנוסף, באחד הקמפיינים שלכם הפעלתם נוזקת wiper בשם “Kamikaze” הפוגעת באופן ספציפי בקורבנות מאיראן.

מצד שני - פרצתם לחברות ישראליות כמו Aqua (Trivy) ו-Checkmarx.

אתה יכול להסביר את הסתירה לכאורה באופי הפעילות, באיזה צד אתם, אם בכלל?

המדינות האלו והאנשים שהן משרתות הם פשוט רעים.
איראן היא משטר שרוצח מפגינים בדם קר ומממן טרוריסטים, בזמן שממשלת ישראל היא ממשלה של מחרחרי מלחמה, וכלי האבטחה שמיוצרים שם משרתים מדינות עם התנהגות דומה, מה שהופך אותן למטרה מרכזית.

ה-wiper נגד איראן היה יותר בשביל הכיף. אנחנו מכניסים אותו כי אנחנו יכולים, ואם על הדרך הוא גורם לנזק משני אז אנחנו נישן טוב יותר בלילה.
אנשים תמיד אומרים לנו לבחור צד. למה?
אני לא מנהל משא ומתן עם רוע. אני כועס על האופן שבו שהאנשים האלו עושים שימוש בכח ואמונה. זה משפיע לרעה על כולם.

ש: יש לכם שיתופי עם LAPSUS$, Breached ועוד.

למה לשתף פעולה עם קבוצות אחרות במקום לנהל את כל שרשרת התקיפה באופן עצמאי?

ת: יש כאן הרבה גישות. עדיף ליצור אקוסיסטם וקשרים, ככה קל יותר למכור את המידע מהר ולהעביר גישות. LAPSUS$ היו טובים לעבודה, הם אמינים מאוד, והם הביאו מה שצריך כדי להניע את הפעילות.

דברים מנוהלים אצלנו פנימית הרבה יותר ממה שאתה חושב, אבל התוצאה הסופית לא תמיד מתפרסמת תחת הקבוצות שלנו, מה שמתפרסם אצלנו זה בדרך כלל רק הפריצות המהירות.

ש: בפריצה האחרונה לסביבות הפנימיות של GitHub אתם מציעים למכירה קוד מקור מ-4,000 רפוסיטורים תמורת 50 אלף דולר.

מה האסטרטגיה מאחורי מכירת המידע בצורה כזו? למה לא לפעול כמו שאר קבוצות התקיפה, לפנות ישירות ל-GitHub ולדרוש כופר?

ת: כל הקודם זוכה. אנחנו לא סוחטים, אנחנו כאן בשביל כסף, וכמה שיותר מהר. אם GitHub היו רוצים שהמאגרים יישארו פרטיים, הם היו מציעים עליהם מחיר גבוה כמו כולם, או מבקשים את מחיר הסופי שלנו.
(ארז: נכון לזמן הראיון, ולפי גרסת הקבוצה, ההצעה הגבוהה ביותר שנים קיבלו היא 95k$)

ש: רוב קבוצות הכופר מתמקדות בהצפנת קבצים של הקורבן, אבל זה נראה שאתם מפוקסים בגניבת נתוני הזדהות, פגיעה בשרשרת אספקה, גניבה ומכירת המידע, ללא הצפנה.

למה בחרתם בגישה הזו?

ת: TeamPCP התחילה במקור כקבוצה שמצפינה וסוחטת, אבל זה פשוט כבר לא נצרך. אנחנו מקבלים את אותו תשלום בכל מקרה, בזמן שזה לוקח הרבה פחות זמן וגורם להרבה פחות הרס לעסקים.

אני גם אוסיף, שאחרי הכישלון עם Vect, איבדנו הרבה עניין בהצפנה אחרי שראינו את התוצאות שאפשר להשיג בלעדיה. זה עצר אותנו מלהמשיך בכיוון הזה.

ש: כמה ארגונים הושפעו מהתקיפות שלכם מאז שהתחלתם לפעול?
והאם לדעתך פרטי הגישה שנגנבו מאבדים ערך עם הזמן, כשארגונים מבינים שנפרצו ומתחילים לבטל אותם?

ת: עשרות אלפי חברות הושפעו. מספר המפתחים מגיע כנראה למיליונים.
ארגונים גדולים ופרטי גישה שעומדים לפוג תוקף בקרוב מקבלים עדיפות.

זה לא מטריד אותנו אם חברות מבטלות פרטי הזדהות בהיקף רחב, כפי שכבר קרה.
אנחנו פשוט נמצא דרך אחרת להיכנס דרך שרשרת האספקה.

ש: מה גרם ל-TeamPCP להתחיל את הפעילות הזאת מלכתחילה? האם מישהו מכם היה בעבר בצד “הלבן” של עולם הסייבר? ואם כן, מה גרם לכם לעבור לצד השני?

ת: ניסיתי למצוא עבודה בתחום של פעילות התקפית חוקית, סוג של עבודות קבלן, והמעסיק הפוטנציאלי שלי עשה משהו מאוד לא אתי.
אז המשכתי לפעול כ-Blackhat בנפרד.

אם משהו היה קורה אחרת, זה היה יכול להתפתח בצורה שונה מאוד. אבל כן, רציתי בעבר, ועדיין הייתי רוצה לעסוק במשהו כזה.
תשומת הלב שמופנית אלינו היא לא טובה, וכבר הרווחתי מספיק כסף כדי לאכול, לשלם על בית ולדאוג לצוות שלי.

חלק מאיתנו אפילו התחילו לתרום את הרווחים שלהם, כי פשוט אין לנו צורך בהם כדי לשרוד יותר, וזה כל מה שחשוב.
אנחנו לא רוצים ולא צריכים להיות עשירים, ואנחנו לא אוהבים לגרום נזק לאנשים, אבל על אבטחה גרועה משלמים.

ש: הקמפיינים שלכם מתמקדים מאוד בשרשרת אספקה.

איזו עצה תכלס היית נותן לארגונים שרוצים להתגונן מפני מתקפות כאלה?

ת: לעשות שימוש רק בספריות עם וותק גיל מינימלי, הצמדה של גרסאות ל-hash, טוקנים עם הרשאות מדויקות, לדעת באילו תוספים המפתחים שלכם משתמשים ב-IDE שלהם או להגביל אותם.

חברת Socket תמצא את הנוזקה לפני שהחבילה תספיק להגיע למכונה שלכם, והם יפרסמו את כל ה-IOCs וצעדי התיקון עבורכם, או עבור צוות ההגנה של החברה שלכם, אם תיפגעו.

(ארז: נשמע כמו תוכן שיווקי חחח
כמובן שאין לראות בנ"ל המלצה כלשהי מצידי).

המשך הראיון בפוסט הבא
חלק 2️⃣ 👇

🐱🎙🛡️ המשך הראיון עם קבוצת TeamPCP - חלק 2️⃣

➖➖➖➖➖➖

ש: תוקפים שמייצרים המון רעש ונזק מתמודדים כל הזמן עם הגנות טובות יותר, לחץ מצד רשויות אכיפה ותגובה מהירה יותר לאירועים.
מה אתם עושים בשביל להיות צעד אחד קדימה מול הארגונים וגופי האכיפה?

אנחנו תמיד נסתדר מול צוותי ההגנה.
לגבי רשויות האכיפה, יחס הסיכון-תגמול שלי אומר לי שבקרוב יגיע הזמן שלי להפסיק לפעול.

ש: האם אתם משתמשים בכלי AI כחלק מהפעילות שלכם?

ת: כן. אנחנו כותבים את הנוזקות שלנו ידנית אבל גם בעזרת AI. הלמידה של המנגנונים השונים בכלים שאנחנו מנצלים נעשית כולה על ידי אדם.

אתה יכול לתת לכל ילד סקריפטים LLM, והוא עדיין לא יוכל לשחזר את המתקפות שלנו, גם אם קוד המקור והדוחות שלאחר האירוע יהיו פומביים לגמרי.
זה מדבר בעד עצמו.

ש: יש עוד משהו שתרצה לומר או לשתף עם העוקבים שלי בערוץ?

ת: התוצאות שלנו מדברות בעד עצמן.

שאלת בונוס 😄

ש: שמתי לב שהכינוי שלך ב-Tox הוא “the jellyfish who jumped up the mountain”, זה רפרנס לטראק של Shpongle, נכון?
לפי הלהקה השם של השיר מתייחס למטאפורה של אבולוציה שאפילו מדוזה יכולה לטפס על הר אם תעשה צעד קטן בכל פעם, לאורך מיליוני שנים.

מה הסיפור מאחורי בחירת הכינוי הזה? האם זה קשור לאבולוציה של הקבוצה?

ת: ובכן, הנסיבות שלי לא היו טובות במיוחד, ואני פשוט המשכתי להתקדם וללמוד כמה שיותר, לנסות למצוא פרצות, לכתוב נוזקות ולהיכשל, לפעמים בלי כסף לאוכל או לשכר דירה, 24/7/365.
אני המדוזה שקפצה במעלה ההר 🪼

https://t.me/CyberSecurityIL/8968

בשביל שיהיה לכם קל לעקוב ולקרוא את כל הראיונות שקיימתי כאן עם קבוצות כופר, העליתי הכל לאתר מסודר:
https://ransomware-interviews.base44.app

חג שבועות שמח 🌾