בשנת 2021, קבוצת "לזרוס" פנתה לחוקרי אבטחה באמצעות פרויקטים מזוהמים ב-Visual Studio. בשנת 2024, הם שתלו חבילות זדוניות ב-PyPI באמצעות "טיפוסקוואטינג" (typosquatting). ובמסגרת קמפיין המתנהל לפחות מאז מרץ 2025, הקבוצה עברה לשימוש בפיתיונות פישינג ממוקד (spear phishing) תוך התחזות ל-"Edge Group", ל-"IIT Kanpur" ול-"Airbus", כשהיא פונה לארגונים בתחומי התעופה והחלל והביטחון.
אופן ההפצה משתנה, אך האסטרטגיה הבסיסית נותרת ללא שינוי. כל גרסה של תוכנת הדלת האחורית Comebacker של הקבוצה מסתמכת על אותה נקודת כניסה: קובץ שהמשתמש פותח ומאמין בו. ניתוח שנערך לאחרונה על ידי ENKI מפרט את הגרסה האחרונה של Comebacker וחושף התפתחות טכנולוגית משמעותית.
ה-dropper משתמש כעת באלגוריתם XOR/bit-swap מותאם אישית, במקום צפני ה-RC4 או ה-HC256 שהיו בגרסאות קודמות. שלבי ה-Loader עברו להצפנה באמצעות ChaCha20. ולראשונה, תעבורת ה-C&C מוצפנת באמצעות AES-128-CBC, תוך נטישת התקשורת בטקסט גלוי שהקלה על יירוט הגרסאות הקודמות.
כל אחד מהשינויים הללו נועד לעקוף זיהוי מבוסס חתימות, וכל אחד מהם אינו רלוונטי אם הקובץ הזדוני כלל אינו מגיע למשתמש מלכתחילה. עבור ארגונים המטפלים בתוכניות מסווגות, בנתונים הכפופים ל-ITAR או במערכות OT קריטיות למשימה, תחנת עבודה אחת שנפרצה עלולה להוביל לתקרית בשרשרת האספקה.
מאמר זה בוחן כיצד פועלת שרשרת ההדבקה של Comebacker, מדוע מערכות ההגנה המסורתיות מתקשות להתמודד עמה, וכיצד אבטחת קבצים המתמקדת במניעה – המיושמת בשער הדוא"ל, בגבול המדיה הנשלפת ובכל נקודת כניסה שביניהם – מנטרלת את האיום, ללא תלות באופן שבו מוסווה המטען הזדוני.
כיצד מתקפות באמצעות קבצים עוקפות את מערכות ההגנה ההיקפיות
גורמים ממדינות לאום, כמו קבוצת "לזרוס", מנצלים דואר אלקטרוני ומדיה נשלפת, משום שארגוני תעופה וחלל וביטחון מסתמכים על ערוצים אלה להעברת קבצים ברשתות. מה שהופך את "קומבקבר" לקשה לאיתור הוא מה שקורה לאחר המסירה. המסמך הראשוני נראה לגיטימי, אך ברגע שנפתח, הוא מפעיל שרשרת ביצוע רב-שלבית שנועדה להישאר סמויה.
נקודות הכניסה העיקריות לקמפיינים בסגנון "קאמבק"
אֶלֶקטרוֹנִי:
קובצי מצורפים זדוניים שהוסוו כחוזה ספקים, עדכוני פרויקטים או חשבוניות. ENKI זיהתה ארבעה מסמכי פיתיון בפורמט .docx שהתחזו לארגונים Edge Group, IIT Kanpur ו-Airbus, במסגרת מתקפה המתנהלת לפחות מאז מרץ 2025.
אמצעי תקשורת היקפיים:
USB או דיסקים ניידים שנדבקו בווירוסים והוכנסו לרשתות ההנדסה או הייצור במהלך פעולות שגרתיות כגון עדכוני תוכנה או מחזורי תחזוקה.
מאקרו VBA מפענח מטעין יחד עם מסמך דמה משכנע באמצעות אלגוריתם XOR/החלפת ביטים מותאם אישית. המטעין עובר דרך מספר שלבים מוצפנים באמצעות ChaCha20. הדלת האחורית הסופית פועלת כולה בזיכרון, ואינה מותירה עקבות בדיסק שניתן לאתר באמצעות כלי אבטחת נקודות קצה.
עד שהדלת האחורית יוצרת קשר עם השרת, כל תעבורת הפיקוד והשליטה מוצפנת באמצעות AES-128-CBC, ומתמזגת עם פעילות HTTPS רגילה. כלי אבטחה היקפיים מסורתיים רואים משתמש הפותח מסמך ומייצר תעבורת אינטרנט מוצפנת, אך שום דבר ברצף זה אינו מעורר התראה.
קבוצת לאזרוס מפעילה גרסאות מקבילות עם יישומים קריפטוגרפיים שונים: ChaCha20 בשרשרת אחת ו-HC256 בשרשרת אחרת, כשכל אחת מהן כוללת פונקציונליות דלת אחורית זהה. חתימת זיהוי שנכתבה עבור אחת מהן לא תזהה את השנייה. זו הבעיה המרכזית בהסתמכות על זיהוי בלבד. התוקפים מתכננים את המטענים שלהם באופן ספציפי כדי לעקוף את הזיהוי.
ניטרול תוכנות זדוניות לפני שהן מופעלות
אז מה עושים עם איום שנועד במפורש לחמוק מזיהוי? אפשרות אחת היא להוסיף עוד שכבות זיהוי, עוד מנועים, עוד חתימות, עוד כללי התנהגות. זה עוזר, אך התוקפים כבר מתכננים תוכנות זדוניות כדי לחמוק מהמודל הזה. האפשרות השנייה היא להתחיל להסיר את המרכיבים שהופכים קובץ למסוכן. זהו ההיגיון התפעולי העומד בבסיס הטכנולוגיות OPSWAT.
כל קובץ הנכנס לסביבה, בין אם באמצעות דואר אלקטרוני ובין אם באמצעות מדיה נשלפת, עובר תחילה עיבוד באמצעות Metascan™ Multiscanning. הקובץ נבדק במקביל על ידי למעלה מ-30 מנועי אנטי-תוכנה זדונית, המשלבים זיהוי מבוסס חתימות עם אלגוריתמים היוריסטיים ולמידת מכונה. בעוד שמנוע בודד עלול לפספס גרסה חדשה של Comebacker, ההסתברות שלמעלה מ-30 מנועים כולם יפספסו אותה פוחתת באופן משמעותי.
אך כיסוי הזיהוי, רחב ככל שיהיה, עדיין תלוי בזיהוי של גורם זדוני. טכנולוגיית Deep CDR™ אינה מנסה לזהות את המטען הזדוני. במקום זאת, היא מסירה את התנאים המאפשרים למטען הזדוני להתבצע. שכבת מניעה זו מסירה מהקבצים אלמנטים פעילים כגון מאקרו, סקריפטים, קבצי הפעלה מוטמעים ואובייקטים מוסתרים. לאחר מכן, היא בונה מחדש גרסה נקייה ושמישה של המסמך. תהליך זה פועל על למעלה מ-200 סוגי קבצים ומסתיים תוך אלפיות שנייה.
טכנולוגיית Deep CDR™ בהתקפה בסגנון "קומבקר"
לפני טכנולוגיית Deep CDR™ | טכנולוגיית After Deep CDR™ |
|---|---|
| מאקרו VBA מפעילים את שרשרת המטענים | מקרואים הוסרו |
| קובץ הפעלה מוטמע משחרר מטען רב-שלבי | הקובץ ההפעלה הוסר |
| תוכן מסמך הדמה (טקסט, עיצוב, תמונות) | הקובץ ההפעלה הוסר |
בעזרת טכנולוגיה זו, המרכיבים המסוכנים מוסרים, והתוכן השימושי נשאר על כנו. למטעין, לשלבי ההצפנה ולדלת האחורית בזיכרון אין כל סיכוי לפעול. עם זאת, לא כל קובץ ניתן לניקוי. קבצי הפעלה, תוכנות התקנה ומסמכים מסוימים הכפופים לרגולציה חייבים להישאר ללא שינוי, במיוחד בסביבות תעופה וחלל, ביטחון ותשתיות קריטיות. עבור קבצים אלה נדרשת בדיקה מסוג אחר.
איתור איומים מתוחכמים המבוססים על קבצים, שלא ניתן לנקות
במקרה של קבצים שחייבים לעבור ללא שינוי,Sandbox Adaptive Sandbox MetaDefender Sandbox ניתוח התנהגותי באמצעות זיהוי איומים מבוסס הדמיה. במקום להסתמך על חתימות או בדיקה סטטית, הוא מתבונן באופן שבו הקובץ מתנהג במהלך ההפעלה כדי לחשוף פעילות זדונית סמויה.
מניתוח של ENKI עולה כי קבוצת "לזרוס" משלבת מודעות לסביבה בתוכנות הזדוניות שלה, תוך שימוש בטכניקות של הפעלה מושהית והתחמקות שנועדו לזהות ולעקוף מכונות וירטואליות. במקום להפעיל מכונה וירטואלית מלאה, Adaptive Sandbox מדמה ביצוע ברמת ההוראות, מה שמאפשר לבצע ניתוח מבלי להשאיר עקבות שהתוכנה הזדונית יכולה לזהות.
סביבת בדיקה מבוססת מכונה וירטואלית לעומת סביבת בדיקה מבוססת אמולציה
סביבת בדיקה מבוססת מכונה וירטואלית | Sandbox Adaptive מבוססת אמולציה |
|---|---|
| ניתן לאיתור באמצעות בדיקות נגד תוכנות זדוניות | תפוקה מוגבלת בסביבות עם נפח עבודה גבוה |
| פסקי דין הדורשים משאבים רבים והם איטיים יותר | תוצאות יעילות פי 10 יותר של " " תוך שניות |
| פסקי דין הדורשים משאבים רבים והם איטיים יותר | מנטרל אמצעי התחמקות מסוג אנטי-VM, אנטי-debug ואמצעים מבוססי זמן ללא צורך בכוונון ידני |
| תפוקה מוגבלת בסביבות עם נפח עבודה גבוה | מיועד לניתוח קבצים בקצב גבוה |
במהלך הניתוח, Adaptive Sandbox התנהגויות בזמן ריצה כגון פעילות במערכת הקבצים, ניסיונות הזרקת תהליכים, שינויים ברישום ותקשורת רשת. אלה הם הדפוסים שמייצרת שרשרת הטעינה של Comebacker: קיצור הדרך לשמירת קביעות בתיקיית ה-Startup, הפעלת rundll32 ותקשורת C2 מוצפנת.
Adaptive Sandbox מפרקת מטענים רב-שכבתיים וחושפת אינדיקטורים נסתרים לאיומים (IOC) שכלי חתימה אינם מזהים לעולם. התוצאות ממופות לטכניקות MITRE ATT&CK ומוחזרות לפלטפורמה כמודיעין איומים בר-יישום, מה שמאפשר קבלת החלטות מהירה יותר וציד איומים יעיל יותר.
התמודדות עם "פירמידת הכאב" באמצעות זיהוי מאוחד
התפתחותו של Comebacker תואמת באופן ישיר את "פירמידת הכאב" (Pyramid of Pain) – המסגרת המדרגת אינדיקטורים לאיום לפי מידת העלות הכרוכה בשינויים עבור התוקף, החל מהאששים (hash) בתחתית (קלים להחלפה) ועד ל-TTPs בראש הפירמידה (המצריכים מאמץ פיתוח משמעותי לצורך כתיבה מחדש). קבוצת Lazarus החליפה את האינדיקטורים הזולים בכל קמפיין ידוע של Comebacker מאז שנת 2021.
הקאמבקר ממופה לפירמידת הכאב
רמת "פירמידת הכאב" | דוגמה ל-Comebacker |
|---|---|
| ערכי Hash | חשישים SHA256 ייחודיים לכל שלב של תוכנת ההחדרה והטעינה |
| כתובות IP / שמות מתחם | דומיינים מסוג C2 שהוחלפו בין קמפיינים: hiremployee[.]com, birancearea[.]com. תשתית ביניים המארחת ב-office-theme[.]com |
| אובייקטים ברשת/במארח | תעבורת C2 מוצפנת ב-AES-128-CBC, המחליפה את התקשורת הקודמת בטקסט גלוי; קיצורי דרך לשמירת נוכחות נכתבים בתיקיית ה-Startup |
| כְּלֵי עֲבוֹדָה | התפתחות הצפנה מ-RC4 ל-HC256 ול-ChaCha20 לאורך שלבי הטעינה; אלגוריתם XOR/החלפת סיביות מותאם אישית במפיץ |
| TTPs | דיוג ממוקד באמצעות מסמכים זדוניים (T1566.001), טעינת קוד רפלקטיבית (T1620), תקשורת C2 מוצפנת (T1573.001), הפעלת קבצי בינארי של המערכת באמצעות rundll32 (T1218.011) |
שינוי השורות התחתונות כנראה גזל מקבוצת "לזרוס" שעות או ימים; כתיבה מחדש של ארכיטקטורת המטעין ודפוסי הביצוע דורשת זמן רב בהרבה. אסטרטגיית זיהוי המתמקדת אך ורק בשורות התחתונות היא לשחק את המשחק שהקבוצה רוצה שתשחק. בכל פעם שאתה כותב חתימה למפתח ChaCha20 אחד, הם מייצרים מפתח אחר.
מ" Sandbox " לזיהוי מאוחד
בסעיף הקודם הוצג כיצד Adaptive Sandbox את התנהגות התוכנה של Comebacker בזמן ריצה. MetaDefender מרחיב יכולת זו לכדי צינור עבודה מאוחד המטפל ב"פירמידת הכאב" במלואה, ומעבד כל קובץ באמצעות ארבע שכבות שהולכות ומעמיקות.
שכבה 1, מוניטין איומים: בודקת חתימות קבצים, כתובות IP ודומיינים מול למעלה מ-50 מיליארד אינדיקטורים. תשתית מוכרת של Comebacker ודוגמאות שנצפו בעבר נחסמות באופן מיידי.
שכבה 2, ניתוח דינמי: מעביר דגימות לא מוכרות לאמולציית רמת ההוראותSandbox Adaptive Sandbox, וחושף שרשראות טעינה רב-שלביות, שגרות פענוח והפעלת rundll32. מדדי זיהוי (IOC) שהתגלו לאחרונה מוזנים חזרה לשכבה 1 באופן אוטומטי, ומחזקים את יכולת הזיהוי של קבצים עתידיים.
שכבה 3, דירוג איומים: משווה בין סימנים התנהגותיים ומקצה ציון סיכון המבוסס על רמת ביטחון, תוך שקלול מנגנוני התמדה, הזרקת תהליכים ופעילות C2. זהו השלב שבו מתבצע סימון של שידורי האיתות המוצפנים לשרתי ה-C2 של Comebacker, ללא תלות בסוג הצפנה שבו נעשה שימוש.
שכבה 4, איתור איומים: עושה שימוש בחיפוש דמיון מבוסס למידת מכונה על פני למעלה מ-100 מיליון דגימות שנותחו, כדי לקשר את הגרסה משנת 2025 לקמפיינים "Comebacker" משנת 2021 ו-2024, אף על פי ששיטת ההצפנה השתנתה לחלוטין. אילוץ קבוצת "Lazarus" לנטוש את ארכיטקטורת המטען (loader) ואת מודל ההפעלה שלה מהווה סוג של לחץ שונה בתכלית מאשר מרדף אחר חתימות קבצים חדשות.
הוספת מודיעין טרום-ביצוע באמצעות בינה מלאכותית חיזויית של Alin AI
לא כל קובץ מצריך ניתוח התנהגותי מלא. בסביבות עם נפח פעילות גבוה, שליחת כל קובץ לא מוכר לסביבת הבדיקה (sandbox) יוצרת עומס על התפוקה. ה-AI החזויה OPSWAT מטפלת בבעיה זו באמצעות שכבת מודיעין הפועלת לפני ההפעלה.
ה-Alin AI החיזויי משתמש בלמידת מכונה כדי לנתח אינדיקטורים מבניים והתנהגותיים של קבצי הפעלה מבלי להפעילם. תוצאות הניתוח מתקבלות תוך פחות מ-100 מילי-שניות ב-P99. מבחנים ראשוניים מראים שיעור זיהוי של 90% בקבצי הפעלה, עם 0.1% תוצאות חיוביות כוזבות. המנוע פועל באופן מקוון או לא מקוון עם ביצועים זהים, מה שמאפשר לפרוס אותו באותן סביבות מנותקות מהרשת שבהן איומים מסוג Comebacker הם בעלי ההשלכות החמורות ביותר.
2 יכולות מרכזיות ורלוונטיות
- חיזוי איומים מסוג "יום אפס": ה-AI החיזויי של Alin מזהה איומים שלא נראו בעבר, אשר מנועים מבוססי חתימות מפספסים, ומבצע הערכה של פורמטים של קבצים הניתנים להפעלה (PE, ELF, Mach-O ו-PDF) הנחשבים בסיכון גבוה, עוד לפני שהם מופעלים. הרחבת הכיסוי לסוגי קבצים נוספים נמצאת בתכנית העבודה.
- צמצום העומס על סביבת הבדיקה: קבצים שהמנוע מזהה בוודאות גבוהה כבטוחים עוברים ללא ניתוח בסביבת הבדיקה. הקבצים שהמנוע מסמן מועברים בראש סדר העדיפויות לתהליך הניתוח המלא בן ארבע השכבות MetaDefender , ובכך נשמרת קיבולת סביבת הבדיקה לקבצים הזקוקים באמת לבדיקה התנהגותית מעמיקה.
אבטחת שער הדוא"ל לפני שהאיומים מגיעים לתיבת הדואר הנכנס
דוא"ל הוא הדרך שבה Comebacker חודר למערכת. מסמכי הפיתוי תוכננו להגיע לתיבת הדואר הנכנס ולהיפתח. אם הקובץ המצורף הזדוני לא מגיע כלל, שרשרת ההדבקה לא מתחילה. MetaDefender Cloud ™ משתלב ב-Microsoft 365 וב-Google Workspace כדי לסרוק ולטהר הודעות לפני שהן מגיעות למשתמשים. הוא פועל תוך כדי זרימת הדואר, כלומר האיומים נעצרים עוד לפני המסירה.
הגנה תלת-שכבתית
- קובצים מצורפים: הקבצים מעובדים באמצעות טכנולוגיות Metascan™ Multiscanning Deep CDR™. קובץ .docx מסוג Comebacker המכיל פקודות מאקרו VBA מפורק ונבנה מחדש עוד לפני שהנמען רואה אותו.
- קישורים: כתובות URL מנותחות ונכתבות מחדש כדי לחסום דפי פישינג והפניות למשרדי פיקוד ובקרה.
- אכיפת מדיניות: הודעות חשודות מועברות אוטומטית להסגר, עוברות ניקוי או מועברות לדרג גבוה יותר בהתאם לכללי הארגון.
עבור צוותי האבטחה, ההשפעה היא מיידית. פחות הודעות דוא"ל זדוניות שמגיעות למשתמשים פירושו פחות התראות, פחות חקירות ופחות זמן המוקדש לתיקון הנזק. הדבר מאפשר לצוותים להתמקד באיומים בעלי עדיפות גבוהה יותר.
הגנה על Media נשלפים ורשתות מנותקות מהרשת
USB ודיסקים ניידים משמשים כגשר בין מערכות חיצוניות לרשתות בקרה, מה שהופך כל קובץ המועבר לנקודת כניסה פוטנציאלית. MetaDefender MetaDefender Media מקימים נקודות בקרה מאובטחות בגבולות אלה.
לפני שקובץ כלשהו ממדיה נשלפת נכנס לסביבה רגישה, הוא נסרק ומנוקה באמצעות טכנולוגיות Metascan™ Multiscanning Deep CDR™. כך מוחלת על המדיה הפיזית אותה הגנה המשמשת בשער הדוא"ל. מסמך זדוני המסתמך על מאקרו מוטמעים או מטענים זדוניים המוטמעים בשלבים מנוטרל עוד בטרם יגיע למערכת היעד.
סביבות תפעוליות מציבות אתגר נוסף: מגוון אמצעי אחסון. הקיוסק תומך ביותר מ-20 סוגי אמצעי אחסון, בהם USB, USB, כרטיסי SD, אמצעי אחסון אופטיים ופורמטים ישנים, ומבטיח אכיפה עקבית גם במקומות שבהם עדיין נעשה שימוש בטכנולוגיות ישנות.
האכיפה היא זו שהופכת את התהליך ליעיל. ברגע שקובץ עובר את הבדיקה, הוא מקבל חתימה דיגיטלית. תוכנת Media Agent OPSWAT, המותקנת על מכשירים קצה, חוסמת כל מדיה נשלפת שאינה נושאת חתימה זו. USB שלא נסרק פשוט לא יפעל.
מדיניות מרכזית מאחדת את התהליך. MetaDefender אוכפת כללי הסגר, הגבלות על מכשירים ורישום ביקורת בכל זרימות העבודה של המדיה, ומבטיחה שכל קובץ הנכנס לסביבה מנותקת ייבדק, יאומת ויירשם. עבור ארגונים הפועלים תחת דרישות NERC CIP, NIST 800-53 או ISA/IEC, רמת בקרה זו היא חיונית. היא מספקת ראיות ניתנות לאימות לכך שכל קובץ הנכנס לסביבה נבדק ואושר.
מניעה אחידה בכל גבולות הקבצים
הטכנולוגיות שתוארו בסעיפים הקודמים – סריקה רב-שכבתית, טכנולוגיית Deep CDR™, סביבת בדיקה מבודדת (sandboxing), אבטחת דואר אלקטרוני ואכיפה בסגנון קיוסק – יעילות ביותר כאשר הן פועלות במסגרת מדיניות אחידה.MetaDefender מספקת את התשתית הזו.
הפלטפורמה מרכזת את המדיניות, נתוני הניטור והאכיפה בכל נקודות הכניסה של קבצים, החל משערי דוא"ל בענן ועד נקודות בקרה של מדיה נשלפת והעברות ברשת. במקום לנהל כל בקרה בנפרד, צוותי האבטחה מגדירים את כללי הטיפול בקבצים פעם אחת ומיישמים אותם באופן עקבי בכל מקום.
3 תהליכי עבודה חיוניים המופעלים על ידי MetaDefender Core
- מדיניות קבצים אחידה: אותם כללי סריקה וניקוי חלים ללא תלות באופן שבו הקובץ נכנס לסביבה.
- תיקון אוטומטי: Sandbox ונתוני המוניטין מובילים להחלטות על חסימה, הסגר או שחרור ללא התערבות ידנית.
- תאימות ומוכנות לחקירות פורנזיות: אירועי IOC ויומני ביקורת מיוצאים לפלטפורמות SIEM לצורך דיווח וחקירה.
גישה מאוחדת זו מגשרת על הפערים בין אמצעי הבקרה הבודדים. החלטה שהתקבלה בסביבת בדיקה (sandbox) לגבי קובץ חשוד בגבול אחד יכולה להשפיע באופן מיידי על אופן הטיפול בקבצים דומים בגבולות אחרים. התוצאה התפעולית היא זיהוי מהיר יותר, הפחתת עומס העבודה על האנליסטים, והפחתת הסיכוי שקובץ זדוני יעבור דרך פערים שאינם מתואמים.
להבטיח ש"קומבקר" לא יחזור לעולם
קבוצת לאזרוס תמשיך לשכלל את שיטות ההצפנה, שרשראות המטענים ושיטות ההפצה שלה, אך מה שהיא לא תוכל לשנות בקלות הוא התלות שלה בקובץ כנקודת כניסה. MetaDefender אוכפת אמצעי מניעה בכל נקודת מגע עם קובץ, בין אם מדובר בדוא"ל, במדיה נשלפת או בהעברות רשת.
טכנולוגיית Multiscanning CDR™ מנטרלות איומים עוד לפני שהם מופעלים. מערך הזיהוי בן ארבע השכבות MetaDefender חושף את מה שלא ניתן לנקות בבטחה, פועל על פני כל "פירמידת הכאב" ומייצר מודיעין המחזק את ההגנה עם כל ניתוח.
ה-Alin AI החיזוי מרחיב את היכולות הללו אל קו ההגנה החיצוני, חוסם תקיפות "יום אפס" צפויות תוך אלפיות שנייה ושומר את קיבולת סביבת הבדיקה לקבצים הזקוקים לה ביותר. MetaDefender Core בקרות אלה פועלות במסגרת מדיניות אחידה.
בפני "קומבק" והקמפיינים שיבואו בעקבותיו, השאלה האמיתית אינה האם מערכות ההגנה שלכם מסוגלות לזהות את הגרסה האחרונה, אלא האם קובץ זדוני יכול להגיע למשתמש מלכתחילה. כדי ללמוד כיצד OPSWAT לסייע ביישום אמצעי מניעה בכל סביבתכם, צרו קשר עם מומחה.
