כשאיש התמיכה הוא התוקף: מתחזים ל‑ IT ב‑ Microsoft Teams ושותלים נוזקה

חוקרי Unit 42 של חברת Palo Alto Networks חשפו מתקפת סייבר חדשה המנצלת את פלטפורמת Microsoft Teams. במתקפה זו, שעליה דיווח החוקר Brian Janower, מתחזים פושעי הסייבר לצוות תמיכה טכנית (helpdesk) ומשכנעים עובדים בארגון למסור להם שליטה מרחוק על עמדת העבודה — ובסופו של דבר להתקין את הנוזקה EtherRAT. המקרה בולט משום שהוא אינו נשען על פרצה תוכנתית, אלא על מנוף ההנדסה החברתית ועל האמון שרוחש עובד לגורם המציג את עצמו כ"איש IT". במילים אחרות, הפרצה שנוצלה כאן היא אנושית, לא טכנולוגית.

שרשרת ההדבקה נפתחת בדוא"ל דיוג המתחזה ל"סקר עובדים". לאחר מכן מקבל היעד שיחת Microsoft Teams מגורם המתחזה לתמיכה הטכנית. במהלך השיחה מוביל התוקף את העובד, צעד אחר צעד, למסור שליטה מרחוק ולהתקין כלי ניהול לגיטימי — כדוגמת HopToDesk או AnyDesk. השימוש בכלי ניהול מוכר ותקין מקשה על הזיהוי, שכן אין כאן תוכנה זדונית מובהקת. לאחר מכן מורדת חבילת התקנה מסוג MSI והיא זו שמתקינה בפועל את EtherRAT על המחשב של הקורבן. ראוי לשים לב שכל שלב בשרשרת מחייב שיתוף פעולה אקטיבי של הקורבן — מה שהופך את שיקול הדעת של העובד לנקודת ההכרעה.

EtherRAT היא נוזקה מבוססת Node.js וחוצת פלטפורמות — פועלת על Windows, ‏Linux ו‑ macOS. היא מספקת יכולות פוסט‑קומפרומייז סטנדרטיות: הרצת פקודות, גניבת מידע, מניפולציה על קבצים ומנגנוני שרידות. מרכיב חדשני הוא אופן יצירת הקשר עם שרת השליטה (C2): הנוזקה מושכת את כתובות השרתים הפעילים מתוך חוזה חכם (smart contract) ברשת האתריום, עם דומיין גיבוי מסורתי כמנגנון נפילה חלופי. החוקרים אף מצאו ספרייה פתוחה שהכילה גרסאות 1 עד 9 של הנוזקה, כשדגימות עודכנו לאחרונה ב‑ 26 ביוני — עדות לפיתוח פעיל ומתמשך. לנוזקת EtherRAT קשרים קודמים למתקפות סייבר שניצלו את החולשה React2Shell והיא הופיעה בפעילות של כמה קבוצות תקיפה.

מבחינת הסיכון העסקי, מסירת שליטה מרחוק לתוקף שקולה למסירת המפתחות לעמדת העבודה. משם, פוטנציאלית, נפתחת הדרך אל שאר הרשת הארגונית — לגניבת מידע רגיש ולשתילת דריסת רגל קבועה, על כל המשתמע מכך: שיבוש תפעולי, פגיעה במוניטין וחשיפה רגולטורית אפשרית.

מה שהופך את התרחיש למאתגר במיוחד הוא שהתוקפים אינם נראים כתוקפים: הם משתמשים בכלי ניהול לגיטימיים ומגיעים דרך ערוץ תקשורת מהימן כמו Teams ולכן קשה למערכות ההגנה הרגילות להבחין בין פעילות תקינה לתקיפה — עובדה המאריכה את משך השהייה של התוקף ברשת בטרם יתגלה. הסכנה גדולה במיוחד בארגונים שבהם רגילים עובדים לקבל תמיכה מגורם חיצוני, שכן שיחת תמיכה טכנית יזומה נתפסת שם כשגרה — בדיוק ההנחה שעליה נשען התוקף. זה גם אינו המקרה הראשון שבו Teams מנוצל לרעה: בעבר תועדו מפעילי DragonForce מסווים תעבורת C2 כתקשורת לגיטימית של Teams לאחר חדירה לרשת.

עם זאת, גם כשהמתקפה מצליחה היא מותירה עקבות. חשוב לציין שהדיווח עצמו אינו כולל רשימת המלצות הגנה מסודרת, אלא בעיקר מדדי זיהוי — ואלו בהחלט שווים ניטור. ביומני Teams עשוי להופיע מפגש שכותרתו "System Administrator (External unfamiliar)", כשהתגית "External unfamiliar" מסמנת איש קשר חיצוני ללא יחסי אמון מוכרים. יומני הביקורת (audit logs) של Teams חושפים צ'אט One‑on‑One חוצה‑ארגונים (cross‑tenant) שנפתח מחשבון בשליטת התוקף. ובמהלך שליטה מרחוק פעילה, ‏Teams יוצר קבצים בקידומת "CtrlVirtualCursorWin_*" — סימן מובהק לפעילות חיה על שולחן העבודה.

מכיוון שהחוליה הראשונה והחלשה ביותר בשרשרת הזו היא האדם ולא הקוד, קו ההגנה הראשון הוא מודעות עובדים לסייבר. עובד שאומן לזהות שיחת "תמיכה" יזומה ולא צפויה, לפקפק בבקשה למסור שליטה מרחוק ולעצור לפני התקנת כלי לבקשת גורם חיצוני — הוא זה שקוטע את השרשרת בשלב מוקדם, עוד לפני שחבילת ה‑ MSI יורדת. שירות מודעות עובדים לסייבר של 010 בונה בדיוק את הרפלקס הזה, באמצעות הדרכה שיטתית ותרגול סימולציות דיוג המותאמות לתרחישים אמיתיים. לצד זאת פועלות שכבות משלימות: סינון דוא"ל מצמצם את הסבירות שהודעת ה"סקר" הראשונית תגיע לתיבה מלכתחילה, ומערך SIEM/SOC מסוגל להפוך את סימני הזיהוי שתוארו לעיל לניטור אקטיבי ולהתראה בזמן אמת. שילוב השכבות — אדם, דואר וניטור — הוא שהופך מתקפה המנצלת אמון למתקפה שנעצרת בזמן.

למקור הידיעה ולקריאה נוספת לחצו כאן

כשאיש התמיכה הוא התוקף: מתחזים ל‑IT ב‑Microsoft Teams ומשתילים את נוזקת EtherRAT
דילוג לתוכן