מדוע מתקפות המבוססות על LNK עדיין מצליחות לחמוק
בסוף שנת 2025 פרסמה חברת Arctic Wolf Labs מחקר על מבצע ריגול שכוון נגד גופים דיפלומטיים בבלגיה, הונגריה ומדינות אירופיות אחרות. גורם האיום, קבוצה המזוהה עם סין המכונה UNC6384, השתמשה בהודעות דוא"ל מסוג "ספארפישינג" כדי להפיץ קיצורי דרך של Windows שהפכו לנשק, או קבצי LNK, שהתייחסו לכאורה לישיבות לגיטימיות של הנציבות האירופית ולסדנאות הקשורות ל-NATO.
כאשר נמען לחץ על קיצור הדרך, פקודת PowerShell מוסתרת הפעילה שרשרת הדבקה רב-שלבית, שבסופו של דבר הובילה להחדרת טרויאני הגישה מרחוק PlugX. הקמפיין ניצל את ZDI-CAN-25373, פגיעות בקיצורי דרך של Windows שנחשפה במרץ 2025, המאפשרת ביצוע פקודות בסתר על ידי הסתרתן מאחורי תוספת רווחים ריקים בארגומנטים של שורת הפקודה בקובץ LNK.
השימוש שעשה בו UNC6384 הזכיר לנו בעיה רחבה יותר: קבצי קיצור דרך עדיין נראים שגרתיים בעיני המשתמשים, ולעתים קרובות הם נבדקים פחות בקפדנות מאשר קבצי הפעלה או מסמכים התומכים במאקרו. ברגע שקובץ LNK זדוני מופעל, הפעילות המסוכנת ביותר מתרחשת לרוב בזמן הריצה באמצעות סקריפטים מקודדים, ארכיונים מדורגים וניצול לרעה של קבצים בינאריים חתומים – תחומים שבהם סריקה סטטית ובדיקות מוניטין מתקשות לעמוד בקצב.
מאז, הקמפיין לא חדל להתפתח. באפריל 2026 דיווח אתר The Hacker News כי אותה קבוצת תקיפה, המוכרת בענף כ-TA416, חזרה לתקוף ארגונים ממשלתיים ודיפלומטיים באירופה מאמצע שנת 2025 ואילך, תוך שימוש בשיטות הפצה חדשות, בהן ניצול לרעה של הפניות OAuth, דפי אימות של Cloudflare Turnstile והפעלה מבוססת MSBuild, ובמקביל המשיכה לעדכן את מטען ה-PlugX שלה.
המחקר של Arctic Wolf הנבחן במאמר זה מתאר שלב אחד במבצע מתועד ומתמשך, ומדגים כיצד שילוב הטכנולוגיות MetaDefender ו-Deep CDR™ מצמצם את הפער בין זיהוי למניעה.
שרשרת ההתקפות של UNC6384
הכל התחיל בקובץ שרוב המשתמשים לא היו מטילים בו ספק. קובץ ה-LNK שנשלח במסגרת קמפיין זה, ששמו "Agenda_Meeting 26 Sep Brussels.lnk", היה בגודל של 2.58 KB בלבד והתייחס לישיבה אמיתית של הנציבות האירופית בנושא הקלת התנועה החופשית של סחורות במעברי הגבול בין האיחוד האירופי למדינות הבלקן המערבי. זו הייתה סדר יום אמיתי של אירוע אמיתי, עם קיצור דרך שנראה שגרתי.
שלב 1: גישה ראשונית באמצעות קובץ LNK זדוני
כאשר הנמען לחץ פעמיים על קיצור הדרך, התוכנה הפעילה בשקט את PowerShell באמצעות פקודה מוסתרת, שפענחה וחילצה ארכיון tar (rjnlzlkfe.ta) לספריית ה-Temp המקומית של המשתמש. לאחר מכן, פקודת ה-PowerShell השתמשה ב-tar.exe כדי לדחוס את הארכיון והפעילה את תוכנו, תוך פתיחה במקביל של קובץ PDF כוזב שהציג את סדר היום האמיתי של הישיבה. הקורבן ראה מסמך. התוקף השיג יכולת ביצוע קוד.
שלב 2: העתקת DLL באמצעות קובץ בינארי חתום חוקי
הארכיון שחולץ הכיל שלושה קבצים: cnmpaui.exe, cnmpaui.dll ו-cnmplog.dat. הקובץ הראשון הוא תוכנת עזר לגיטימית של Canon למדפסות, החתומה דיגיטלית על ידי Canon Inc. באמצעות תעודה שהונפקה על ידי Symantec. החתימה תקפה מכיוון שתאריך החתימה נקבע בזמן שהתעודה עדיין הייתה בתוקף, כלומר Windows ממשיכה לסמוך על הקובץ הבינארי למרות שתוקף התעודה עצמה פג בשנת 2018 (Arctic Wolf).
זה המקום שבו הדיוק הוא קריטי. קובץ ה-EXE אינו זדוני. מדובר בתוכנה שירותית אמיתית של Canon שנעשה בה שימוש לרעה למטרה ספציפית: כאשר cnmpaui.exe פועל, הוא מחפש את cnmpaui.dll בספרייה שלו לפני שהוא בודק את נתיבי המערכת. על ידי שתילת קובץ DLL זדוני בעל אותו שם לצד הקובץ הבינארי הלגיטימי, UNC6384 שינה את סדר החיפוש והעמיס את הקוד שלו בתוך תהליך מהימן.
שלב 3: פענוח המטען והפעלת PlugX
קובץ ה-cnmpaui.dll הזדוני הוא מטעין קל משקל, שגודלו 4 KB בלבד בגרסת אוקטובר 2025, שנועד למטרה אחת בלבד: לפענח ולהפעיל את הקובץ השלישי, cnmplog.dat. קובץ זה הוא בלוק נתונים המוצפן ב-RC4, המכיל את סוס הטרויאני PlugX לגישה מרחוק. המטעין מפענח אותו באמצעות מפתח קבוע של 16 בתים וממפה את המטען שהתקבל ישירות למרחב הזיכרון של תהליך ה-cnmpaui.exe הלגיטימי.
מנקודה זו ואילך, PlugX פועל בתוך קובץ בינארי חתום ואמין. הוא מבסס את המשכיותו באמצעות מפתח הרישום Run בשם "CanonPrinter", יוצר ספריות נסתרות בשמות כמו "SamsungDriver" או "DellSetupFiles" כדי להתמזג בסביבה, ומתקשר עם תשתית הפיקוד והשליטה (C&C) באמצעות HTTPS ביציאה 443, תוך שימוש בנתיבי URL אקראיים ובמחרוזת user-agent מזויפת של Internet Explorer כדי להתמזג בתעבורת האינטרנט הרגילה.
מהלחיצה הראשונה ועד לדלת אחורית פעילה, שום דבר בשרשרת זו לא נראה זדוני במבט ראשון, ורוב ההתנהגויות החשודות באמת התגלו רק בזמן הריצה. כל שלב תוכנן כך שייראה נורמלי בבדיקה סטטית ויפעל במקומות שבהם המסננים המסורתיים לא מחפשים.
מדוע הגנות סטטיות מתקשות להתמודד עם השרשרת הזו
אמצעי הגנה סטטיים מתקשים להתמודד עם שרשרת זו, משום שכל שלב מתוכנן כך שייראה לגיטימי בפני עצמו. מה שהופך את המתקפה ליעילה אינו קובץ זדוני אחד בולט לעין, אלא רצף של רכיבים בעלי מראה אמין, שכוונתם האמיתית מתגלה רק בזמן הריצה. דפוס זה אינו מוגבל לקבצי קיצורי דרך: התוקפים הסתירו מטענים זדוניים גם בקבצי תמונה תמימים למראה, ושילבו אותם עם הפצה מבוססת LNK כדי לחמוק מזיהוי של תוכנות האנטי-וירוס המסורתיות.
מדוע הגנות סטטיות מתקשות להתמודד עם השרשרת הזו
| שָׁלָב | מה שרואה המגן | מדוע הוא עובר את הבדיקה |
|---|---|---|
| קובץ LNK זדוני | קובץ קיצור דרך בגודל 2.58 KB המתייחס לפגישה דיפלומטית | קובצי LNK נחשבים כבעלי סיכון נמוך כברירת מחדל; ZDI-CAN-25373 מסתיר את פקודת PowerShell מאחורי תוספת רווחים שרוב בודקי המטא-נתונים אינם מפרשים. |
| חתום על ידי Canon EXE | קובץ בינארי PE32 חוקי, הנושא חתימה דיגיטלית תקפה עם חותמת זמן, ממפרסם מוכר | חסימתה תוביל לסימון כל סביבה המריצה תוכנת מדפסת של Canon. למנועי המוניטין אין סיבה לחשוד בה. |
| קובץ DLL של מטעין בנפח 4 KB | קובץ DLL מינימלי, ללא ייבואים חשודים בעליל, שתפקידו היחיד הוא לקרוא, לפענח ולהעביר את הביצוע | כללי YARA יכולים לזהות וריאנטים ידועים, אך מטעין שעבר קומפילציה מחדש עם מפתח או שגרת פענוח שונים מצליחים לחמוק מכיסוי סטטי. |
| מטען PlugX מוצפן | קובץ .dat אטום שאינו נוגע בדיסק בשום שלב בצורתו המפוענחת | סריקה מבוססת קבצים לעולם אינה בודקת את התוכנה הזדונית עצמה. המטען נטען ישירות למרחב הזיכרון של התהליך המהימן של Canon. |
הפער בין מה שכלי בדיקה סטטיים מסוגלים לאתר לבין מה שקורה בפועל בזמן ריצה הוא המקום שבו מתקפות מתחמקות משגשגות. כדי לסגור פער זה נדרשת גישת זיהוי המסוגלת לעקוב אחר מסלול הביצוע המלא, החל מהפעלת הקובץ הראשונית ועד לכל שלב שלאחר מכן, ולהגיע למסקנה על סמך התנהגות ולא על סמך מראה חיצוני.
כיצד MetaDefender חושף את השרשרת כולה
MetaDefender הוא הפתרון המאוחד OPSWAT לזיהוי תקיפות "יום אפס", המשלב ארבע שכבות ניתוח כדי לבחון כל קובץ ממספר זוויות לפני שהוא מספק תוצאה אחת מהימנה.
- בדיקת המוניטין של האיום משווה את חתימות ה-hash, את המטא-נתונים ואת האינדיקטורים המוטמעים בקובץ מול מידע מודיעיני עולמי הנשאב ממאגר של למעלה מ-50 מיליארד אינדיקטורים. בתהליך זה, הדבר מסייע בזיהוי מה שכבר ידוע ובהוספת הקשר למה שעדיין לא ידוע.
- לאחר מכן, Adaptive מפעילה את הקובץ בסביבה מדומה ומתבוננת ברצף הפעולה בזמן ריצה: קובץ ה-LNK מפעיל את PowerShell, הפקודה המוצפנת מפענחת ארכיון tar, הקובץ הבינארי החתום של Canon טוען DLL לא חתום, והמטען המוצפן של PlugX מבסס התמדה ויוצר קשר עם תשתית ה-C2 (פיקוד ובקרה).
- דירוג האיומים משלב את התוצאות הללו, את סימני המוניטין ואת המדדים שהופקו לדירוג סיכון משוקלל, המביא בחשבון את ההקשר ההתנהגותי במלואו.
- חיפוש דמיון מבוסס למידת מכונה משווה את הקובץ ואת התנהגותו למשפחות תוכנות זדוניות ידועות ולפעילות קשורה, ומסייע באיתור קישורים לגרסאות של PlugX או לקמפיינים דומים של העלאת DLL מהצד.
ביחד, המערכת מספקת יעילות זיהוי של עד 99.9% עבור תקיפות "יום אפס" ומחזירה תוצאה אחת מהימנה לכל קובץ, במקום לאלץ את אנליסטי ה-SOC ליישב דוחות נפרדים באופן ידני. לכך יש חשיבות רבה כאשר צוותים מבצעים מיון ראשוני של מאות קבצים ביום, ממקורות כגון דואר אלקטרוני, MFT, ICAP, קיוסקים, אחסון ותהליכי עבודה חוצי-תחומים.
מאפיין מרכזי המבדיל את הרשת הזו הוא הדמיית הוראות ברמת הקוד. סביבות בדיקה (sandboxes) מסורתיות המבוססות על מכונות וירטואליות (VM) עלולות לפספס תוכנות זדוניות המשתמשות בטכניקות התחמקות ממכונות וירטואליות, עיכובים תזמוניים ובדיקות סביבה כדי למנוע ביצוע מלא. סביבת הבדיקה האדפטיבית MetaDefender מדמה את התנהגות המעבד ומערכת ההפעלה ברמת ההוראות, מה שמסייע לחשוף את רצף ההעברה הצדית המלא מ-LNK ל-PowerShell ול-DLL.
עבור צוותי SOC, התועלת היא מעשית:
- מיון מהיר יותר, מכיוון שהפסיקה כבר הותאמה למאגר MITRE
- החלטות חסימה נחרצות יותר, מכיוון שהפסיקה משקפת התנהגות בזמן ריצה ולא רק מוניטין סטטי
- ירידה במספר התוצאות החיוביות השגויות, שכן MetaDefender מסוגל להבחין בין קובץ בינארי חתום ולגיטימי שנעשה בו שימוש לרעה לבין מטען זדוני אמיתי
- היערכות טובה יותר להתקפות "יום אפס " בכל נקודות קליטת הקבצים שדרכן מתקפות אלה חודרות לסביבה
כיצד טכנולוגיית Deep CDR™ מנטרלת את הגורם המפעיל
טכנולוגיית Deep CDR™ עוצרת את השרשרת הזו עוד לפני שהיא מתחילה, על ידי נטרול הקובץ שמניע את כל התהליך. בעוד MetaDefender חושף את פעולותיו של קובץ זדוני בזמן ריצה, טכנולוגיית Deep CDR™ מסייעת להבטיח שהקובץ לא יזכה להזדמנות להתבצע.
המנגנון מותאם באופן ספציפי לאופן הפעולה של מתקפות המבוססות על LNK. קיצור דרך שהפך לכלי תקיפה נושא את הכוונה הזדונית שלו בארגומנטים משולבים בשורת הפקודה; במקרה זה, מדובר בקריאה מקודדת ל-PowerShell, המפענחת את ארכיון ה-tar ומפעילה את שרשרת המטען. טכנולוגיית Deep CDR™ מזהה את הפקודה המשולבת ומחליפה אותה בפקודה דמה תמימה, תוך שמירה על קיצור הדרך בצורתו המטוהרת והסרת יכולתו לשמש כגורם מפעיל למתקפה.
התוצאה היא תהליך LNK מטוהר, שבו ההתנהגות הזדונית המקורית מנוטרלת לפני ההפעלה. אין הפעלת PowerShell, אין חילוץ ארכיונים, אין טעינת DLL מהצד, ואין PlugX. בשילוב ביניהם, MetaDefender וטכנולוגיית Deep CDR™ יוצרים מודל הגנה דו-שכבתי.
מודל הגנה דו-שכבתי
| שכבה | טֶכנוֹלוֹגִיָה | תַפְקִיד |
|---|---|---|
| לזהות ולהבין | MetaDefender אתר | מפעיל את הקובץ, חושף את נתיב ההפעלה המלא הכולל מספר שלבים, מפיק אינדיקטורים להתנהגות (IOCs) ומחזיר תוצאה אחת מהימנה. |
| לנטרל ולמנוע | טכנולוגיית Deep CDR™ | מנטרל את הפקודה הזדונית LNK ומונע את הפעלת הקיצור. |
להבחנה זו יש חשיבות מעשית. MetaDefender הוא הפתרון לזיהוי איומים מסוג "יום אפס" בקבצים הדורשים ניתוח מעמיק, במיוחד כאשר המטרה היא להבין את התנהגות התוכנה בזמן ריצה ולהגיע למסקנה ודאית. טכנולוגיית Deep CDR™ מהווה מנגנון לניקוי ולמניעה עבור קבצים שתוכנם ניתן לנטרל בבטחה מבלי לפגוע בשימוש הלגיטימי. יחד, הן מכסות את שני צדי הבעיה: הבנת פעולות האיום והבטחת כך שלעולם לא תינתן לו ההזדמנות לפעול.
מדוע הדיוק חשוב
דיוק הוא גורם חשוב, שכן לא כל קובץ בשרשרת ההתקפה הוא זדוני, וטיפול זהה בכולם מוביל לזיהוי רחב מדי, הפוגע באמון בכלים שלכם. הקמפיין הזה ממחיש זאת היטב.
תוכנת השירות החתומה של Canon למדפסות (cnmpaui.exe) היא קובץ בינארי לגיטימי. יש לה חתימה דיגיטלית תקפה, מוניטין נקי, ו-hash המקושר לתוכנה לגיטימית. סימונה כזדונית תיצור התראות שווא בסביבות שבהן מותקנת תוכנת מדפסות של Canon, ותגרום לאנליסטים במרכז הבקרה (SOC) לאבד אמון בהתראות שהם מקבלים.
אינדיקטורי הפריצה (IOC) העיקריים הם קובץ ה-DLL הזדוני (cnmpaui.dll) ושרשרת ההתנהגויות שהוא מאפשר:
- העלאה צדדית ופענוח של מטען מוצפן באמצעות מפתח RC4 קבוע
- מיפוי הקובץ הבינארי של PlugX, לאחר פענוחו, למרחב הזיכרון של תהליך מהימן
- הגדרת שמירת שינויים באמצעות מפתח ההפעלה "CanonPrinter"
- יצירת תעבורת C2 ב-HTTPS עם נתיבי URL אקראיים ומחרוזת User-Agent מזויפת
אלה הם הסימנים החשובים ביותר, והם מתגלים רק כאשר כלי זיהוי מסוגל לעקוב אחר התנהגות ולהבחין בין קובץ בינארי מהימן שנעשה בו שימוש לרעה לבין קובץ זדוני באמת.
זה המקום שבו פסק הדין האמין היחיד MetaDefender הופך להיות בעל ערך רב במיוחד. במקום להציג תווית אחידה של "זדוני" על כל קובץ בשרשרת, מערך הזיהוי מעניק ציון לכל רכיב בהתאם להתנהגותו הנצפית בהקשר ההפעלה המלא.
קובץ ה-EXE החתום מזוהה כקובץ בינארי לגיטימי המשמש להורדה צדדית. קובץ ה-DLL והתנהגות הריצה שהוא יוצר מסומנים כאיום האמיתי. הבחנה זו מספקת לצוותי האבטחה תמונה ברורה יותר ומצמצמת את המאמץ הידני הנדרש כדי להבחין בין האות לרעש.
ניתן גם לחזק את הזיהוי הסטטי של ה-DLL הזדוני באמצעות כללים ממוקדים כגון YARA, והחתימות שפרסמה Arctic Wolf עבור מטעין ה-CanonStager מהוות נקודת התחלה מועילה. אך כיסוי החתימות הוא מטבעו תגובתי. בשרשרת תקיפה כזו, הגורם המבדיל האמיתי הוא נראות התנהגותית בשילוב עם נטרול קבצים.
יישום אבטחת קבצים רב-שכבתית לחשיפת שרשראות תקיפה מבוססות LNK
התקפות המבוססות על קבצי LNK ממשיכות להצליח משום שהן מסתמכות על סוג קובץ שאנשים נתקלים בו מדי יום, ולעתים רחוקות מתייחסים אליו כאל מסוכן. במאמר קודם הצבענו על כך שקבצי LNK הם קיצורי דרך רגילים של Windows שתוקפים יכולים לנצל לרעה על ידי הסתרת פקודות PowerShell או cmd.exe בתוכם, לעתים בדרכים שנראות תמימות עד לפתיחת הקובץ בפועל. זו בדיוק הסיבה שמסעות תקיפה כמו זה של UNC6384 ממשיכים להצליח: קיצור הדרך נראה מוכר, אך ההתנהגות שהוא מפעיל רחוקה מלהיות כזו.
דפוס זה נשמר לאורך מספר קמפיינים. בכתבה שלנו על Emotet הסברנו מדוע קשה להבחין בין קבצי קיצור דרך למסמכים רגילים, וכי סיומתם אינה מוצגת כברירת מחדל ב-Windows. עובדה זו הפכה אותם ליעילים במיוחד ככלי הפצה. הלקח כאן זהה: התוקפים אינם זקוקים לטריק חדש לגמרי כאשר סוג קובץ מוכר עדיין יכול להשתלב בתהליכי העבודה היומיומיים ולהפעיל שרשרת הדבקה רב-שלבית.
התשובה אינה לסמן כל קובץ בשרשרת כקובץ זדוני. התשובה היא ליישם אבטחת קבצים רב-שכבתית, המסוגלת לחשוף התנהגות בזמן ריצה, להבחין בין קובץ בינארי לגיטימי שנעשה בו שימוש לרעה לבין מטען זדוני, ולעצור את המנגנון המפעיל לפני שהוא מופעל. שוחחו עם OPSWAT כדי ללמוד כיצד MetaDefender וטכנולוגיית Deep CDR™ יכולים לסייע לצוות שלכם לאתר, לנתח ולמנוע התקפות מבוססות LNK.
