以色列的 IT 和通信公司處於由伊朗威脅行為者牽頭的供應鏈攻擊活動的中心,安全問題熱度持續,該活動涉及冒充這些公司及其人力資源人員,以提供虛假工作機會的受害者為目標,試圖滲透他們的電腦並訪問公司的客戶。
這些攻擊在 2021 年 5 月和 7 月分兩波發生,與一個名為 Siamesekitten(又名 Lyceum 或 Hexane)的駭客組織有關,該組織主要針對中東和非洲的石油、天然氣和電信供應商。
攻擊者進行的感染首先是識別潛在的受害者,然後他們通過偽裝成來自被冒充公司的人力資源部門員工,被 ChipPc 和 Software AG 等知名公司的“誘人”工作機會引誘,只將受害者帶到包含武器化檔的網路釣魚網站,這些檔會卸載名為 Milan 的後門,以與遠端伺服器建立連接並下載名為 DanBot 的第二階段遠端存取木馬。
ClearSky 推測,這些攻擊主要針對 IT 和通信公司,這表明它們旨在促進對其客戶的供應鏈攻擊。
除了使用誘餌檔作為初始攻擊媒介外,該組織的基礎設施還包括建立欺詐網站以模仿被冒充的公司以及在 LinkedIn 上創建虛假個人資料。就他們而言,誘餌檔採用宏嵌入 Excel 試算表的形式,其中詳細說明瞭假定的工作機會和一個可擕式可執行 (PE) 檔,其中包括被冒充組織使用的產品“目錄”。
無論受害者下載什麼檔,攻擊鏈最終都會安裝基於 C++ 的 Milan 後門。2021 年 7 月對以色列公司的攻擊也值得注意的是,威脅行為者用一種名為 Shark 的新植入物取代了米蘭,該植入物是用 .NET 編寫的。
這家以色列網路安全公司表示:“該活動類似於朝鮮的‘求職者’活動,採用了近年來廣泛使用的攻擊媒介——冒充。” “該組織的主要目標是進行間諜活動並利用受感染的網路訪問其客戶的網路。與其他組織一樣,間諜活動和情報收集可能是執行針對勒索軟體或擦除器惡意軟體的類比攻擊的第一步。 ”
|
