伊朗黑客冒充HR攻击以色列IT和通信公司

lsekfe

ClearSky 的研究人员表示，近期发现名为 Siamesekitten(又名 Lyceum 或 Hexane)的[url=]黑客[/url]组织在 2021 年 5 月和 7 月针对以色列的 IT 和通信公司发起了供应链攻击。
　　攻击流程分析
　　整个攻击流程大体如下所示：
　　(1) 攻击者针对潜在的受害者，通过伪装成指定公司的人力资源专员(HR)，以 ChipPc 和 Software AG 公司的“诱人”的工作机会为诱饵。

攻击者伪造了两个网站，一个模仿德国企业软件公司Software AG的网站，另一个模仿ChipPc的网站。Software AG 和 ChipPc 都是[url=]软件开发[/url]公司。因此ClearSky 推测，Siamesekitten 攻击主要针对 IT 和通信公司，并试图使用供应链攻击破坏以色列企业。
　　(2) 攻击者在领英上设置虚假个人资料，详细说明职位信息，引导受害者访问钓鱼网站，诱使用户下载诱饵文件。
　　除了使用诱饵文件作为初始攻击向量以及构建欺诈网站之外，该攻击组织还在 LinkedIn 上创建虚假个人资料。
　　(3) 用户执行后下载名为 Milan 的后门，通过 DNS 和 HTTPS 连接到 C&C 服务器渗透进入公司。拉取名为 DanBot 的远控木马，窃取数据并横向平移。
　　诱饵文件在 Excel 文件中插入宏代码，文件中描述了虚假的工作机会和组织使用的产品目录，还会释放 PE 文件。
　　此前攻击链走到最后都会是 C++ 编写的 Milan 后门，2021 年 7 月针对以色列的公司的攻击使用 .NET 编写的 Shark 代替了 Milan。
　　如下所示，与 C&C 服务器通信。


以色列安全公司 ClearSky 表示：
　　·“该组织的攻击行动与朝鲜的黑客组织类似，也经常使用伪装术。
　　·“该组织的主要目标是进行间谍活动，并利用失陷主机对目标公司的其他网络进行攻击。”


　Siamesekitten组织
　　Siamesekitten(又名Lyceum、Hexane)是一个活跃在中东和非洲的伊朗 APT 组织，该组织至少从 2018 年开始就在积极开展间谍活动。
　　Dragos 公司在去年发布的一份报告中指出，该 APT 组织主要攻击中东地区的石油和天然气公司，其中“科威特是主要的目标行动地区”。
　　该组织的主要攻击对象是能源企业，但该组织也攻击位于大中东地区、中亚地区和非洲地区的电信提供商。
　　此外，安全公司Dragos和Secureworks表示该组织使用的策略，技术和程序(TTPs)类似于APT33和APT34，而后两个APT组织通常被认为与伊朗有关。

海海豚

我的天