זינוק של 700% בתקיפות סייבר איראניות; TrendAI  מפרסמת המלצות אבטחה דחופות לארגונים בישראל

לאור העלייה הניכרת בפעילות סייבר מצד גורמים איראניים המכוונת נגד ארגונים בישראל, מומלץ לארגונים לבחון ולחזק באופן מיידי את מנגנוני ההגנה והניטור שלהם, כך אומר קיריל גלפנד, אוונגליסט AI ואדריכל פתרונות אבטחה בכיר ב-TrendAI. נתוני מודיעין סייבר עדכניים חושפים כי נרשמה עלייה של כ-700% בפעילות התקיפה האיראנית מאז יוני 2025. קבוצת התקיפה MuddyWater  מזוהה כאחת הפעילות ביותר בתקופה זו, כשהיא מתמקדת בעיקר בארגוני ממשלה, תחבורה, תעשייה ותקשורת.

בתקופות של מתיחות ביטחונית, פעילות התקיפה מתמקדת לרוב בגניבת זהויות, חדירה לרשתות ארגוניות והפעלת נוזקות לשליטה מרחוק. במסגרת הפעילות של קבוצת MuddyWater זוהו מספר משפחות נוזקה מרכזיות, ביניהן RustyWater – שתל שליטה מרחוק מבוסס Rust;  BugSleep – Backdoor המאפשר העברת קבצים והרצת פקודות;  PowGoop, Loader המתחזה לקובץ מערכת לגיטימי ו-Mori, Backdoor המשתמש בתקשורת DNS לשליטה מרחוק.

לדברי גלפנד, ארגונים נקראים לגלות ערנות ולנטר פעילויות שעלולות להעיד על ניסיונות חדירה:

• PowerShell Command & Control  – תקשורת של תהליכי PowerShell לכתובות IP או דומיינים חיצוניים לא מוכרים.
• DLL Side-Loading  – טעינת קבצי DLL במיקומים לא שגרתיים למשל  goopdate.dll.
• שימוש חריג בכלי גישה מרחוק (RMM)  – התקנה או שימוש בלתי צפוי בכלים כגון AnyDesk, TeamViewer , ScreenConnect או PDQ.
• DNS Tunneling  – נפח חריג של שאילתות DNS לדומיין בודד שעלול להעיד על תקשורת של נוזקה עם שרת שליטה.

צעדי הגנה מומלצים-  כדי להפחית את הסיכון לחדירה לארגון, מומלץ לנקוט בפעולות הבאות:

• להשבית Office Macros במידת האפשר, שכן מדובר באחת משיטות ההדבקה הנפוצות
• להפעיל אימות רב־שלבי (MFA) לכל מערכות הארגון, במיוחד עבור דוא״ל ושירותי ענן
• לחסום שירותי שיתוף קבצים שאינם נדרשים כגון onehub.com או terabox.com
• לנטר שימוש בלתי מורשה בכלי שליטה מרחוק

לסיכום, אומר גלפנד, במצבי מתיחות ביטחונית עולה לעיתים קרובות היקף פעילות הסייבר המכוונת גם לארגונים אזרחיים. הקשחת מערכות, ניטור קפדני של פעילות חשודה ושימוש באמצעי זיהוי מתקדמים הם חיוניים לזיהוי מוקדם של ניסיונות תקיפה ולצמצום הסיכון לפגיעה בארגון.