以色列的 IT 和通信公司处于由伊朗威胁行为者牵头的供应链攻击活动的中心,安全问题热度持续,该活动涉及冒充这些公司及其人力资源人员,以提供虚假工作机会的受害者为目标,试图渗透他们的计算机并访问公司的客户。
这些攻击在 2021 年 5 月和 7 月分两波发生,与一个名为 Siamesekitten(又名 Lyceum 或 Hexane)的黑客组织有关,该组织主要针对中东和非洲的石油、天然气和电信供应商。
攻击者进行的感染首先是识别潜在的受害者,然后他们通过伪装成来自被冒充公司的人力资源部门员工,被 ChipPc 和 Software AG 等知名公司的“诱人”工作机会引诱,只将受害者带到包含武器化文件的网络钓鱼网站,这些文件会卸载名为 Milan 的后门,以与远程服务器建立连接并下载名为 DanBot 的第二阶段远程访问木马。
ClearSky 推测,这些攻击主要针对 IT 和通信公司,这表明它们旨在促进对其客户的供应链攻击。
除了使用诱饵文件作为初始攻击媒介外,该组织的基础设施还包括建立欺诈网站以模仿被冒充的公司以及在 LinkedIn 上创建虚假个人资料。就他们而言,诱饵文件采用宏嵌入 Excel 电子表格的形式,其中详细说明了假定的工作机会和一个便携式可执行 (PE) 文件,其中包括被冒充组织使用的产品“目录”。
无论受害者下载什么文件,攻击链最终都会安装基于 C++ 的 Milan 后门。2021 年 7 月对以色列公司的攻击也值得注意的是,威胁行为者用一种名为 Shark 的新植入物取代了米兰,该植入物是用 .NET 编写的。
这家以色列网络安全公司表示:“该活动类似于朝鲜的‘求职者’活动,采用了近年来广泛使用的攻击媒介——冒充。” “该组织的主要目标是进行间谍活动并利用受感染的网络访问其客户的网络。与其他组织一样,间谍活动和情报收集可能是执行针对勒索软件或擦除器恶意软件的模拟攻击的第一步。 ”
Myasiacloud亞洲雲海
網路安全防禦專家
亞太高防資源 無上限防禦DDoS/CC攻擊!!
全球優質節點 中國大陸全境加速 海外加速
詳情訪問 https://www.myasiacloud.com/clouddf
商務聯絡@myasiacloud66
评论
发表评论