תוכנה זדונית של MixShell

חוקרי אבטחת סייבר חשפו פעולת הנדסה חברתית מתוחכמת, בשם הקוד ZipLine, הממנפת נוזקה חמקמקה בזיכרון המכונה MixShell. הקמפיין מכוון בעיקר לחברות ייצור קריטיות לשרשרת האספקה ומייצג מגמה הולכת וגוברת של תוקפים המנצלים זרימות עבודה עסקיות מהימנות במקום שיטות פישינג מסורתיות.

מטפסי יצירת קשר לפשרה

בניגוד להתקפות פישינג קונבנציונליות המבוצעות באמצעות מיילים לא רצויים, מפעילי ZipLine מתחילים את חדירה דרך טופס "צור קשר" של החברה. גישה עדינה זו מקימה אמינות כבר מההתחלה. לאחר מכן מתרחשת חילופי תקשורת מקצועיים ומשכנעים הנמשכים מספר שבועות, שלעתים קרובות מחוזקים בהסכמי סודיות מפוברקים, לפני שהתוקפים מספקים ארכיון ZIP זדוני הנושא את MixShell.

טקטיקה זו של בניית אמון וסבלנות מבדילה את ZipLine מקמפיינים מונעי הפחדה. במקרים מסוימים, תוקפים אף מנסחים את גישתם סביב יוזמות מונעות בינה מלאכותית, ומציגים את עצמם כשותפים שיכולים לסייע בהפחתת עלויות ולהגביר את היעילות.

מי נמצא בכוונת?

המטרות של ZipLine הן רחבות היקף, אך הן מתמקדות בארגונים אמריקאים בתעשיות קריטיות לשרשרת האספקה. אזורים מושפעים נוספים כוללים את סינגפור, יפן ושוויץ.

מגזרים מרכזיים במטרה כוללים:

• ייצור תעשייתי (מכונות, עבודות מתכת, רכיבים, מערכות הנדסיות)
• חומרה ומוליכים למחצה
• ביוטכנולוגיה ותרופות
• ייצור מוצרי צריכה

התוקפים משתמשים גם בדומיינים המחקים חברות LLC רשומות בארה"ב, ולפעמים משתמשים בהם מחדש בדומיינים של עסקים לגיטימיים אך לא פעילים. אתרים משוכפלים אלה מצביעים על פעילות בקנה מידה גדול ומובנית מאוד.

האנטומיה של שרשרת ההתקפה

הצלחתה של ZipLine טמונה בתהליך הדבקה רב-שלבי שנועד לשמירה על חמקנות ועמידות. ארכיוני ה-ZIP הממוגנים מתארחים בדרך כלל ב-Herokuapp.com, שירות ענן לגיטימי, המסייע לתוכנה הזדונית להשתלב בפעילות הרשת הרגילה.

תהליך ההדבקה כולל:

• קיצור דרך של Windows (LNK) בתוך קובץ ה-ZIP מפעיל טוען PowerShell.

קישורים לפעילות איומים קודמת

חוקרים זיהו חפיפות בין תעודות דיגיטליות המשמשות בתשתית של ZipLine לבין אלו המקושרות למתקפות TransferLoader המיוחסות לקבוצת האיומים המכונה UNK_GreenSec. למרות שהייחוס נותר לא ודאי, קשר זה מרמז על שחקן מאורגן היטב ובעל תושייה עם ניסיון קודם בקמפיינים בקנה מידה גדול.

הסיכונים של קמפיין ZipLine

ההשלכות של הדבקה מוצלחת ב-MixShell יכולות להיות חמורות, החל מגניבת קניין רוחני ופגיעה בדוא"ל עסקי ועד לאירועי כופרה ושיבוש שרשרת האספקה. בהתחשב באופי התעשיות הממוקדות, ההשפעה עלולה להתפשט מעבר לחברות בודדות למערכות אקולוגיות שלמות של ייצור.

אמצעי הגנה: הימנעות מאיומים מהונדסים חברתית

קמפיין ZipLine מדגיש כיצד פושעי סייבר מחדשים, ממנפים פסיכולוגיה אנושית, ערוצי תקשורת מהימנים ונושאים הקשורים לבינה מלאכותית כדי לנצל אמון.

כדי להתמודד עם איומים כאלה, ארגונים חייבים:

• אימוץ הגנות המבוססות קודם כל על מניעה, המסוגלות לזהות התנהגויות חריגות.
• הכשרת עובדים לגשת לכל פנייה נכנסת בספקנות, ללא קשר לערוץ בו נעשה שימוש.
• לאכוף מדיניות מחמירה לטיפול בקבצים, במיוחד סביב ארכיוני ZIP וקבצי קיצור דרך.
• חיזוק הניטור אחר אנומליות תקשורת מבוססות DNS שעשויות להצביע על מנהור.

בניית תרבות של ערנות היא קריטית. אמון, לאחר שהפך לנשק, הופך לאחד הכלים היעילים ביותר במאגר של תוקף.