《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 伊朗網(wǎng)絡(luò)間諜假借人力資源招募攻擊以色列目標(biāo)

伊朗網(wǎng)絡(luò)間諜假借人力資源招募攻擊以色列目標(biāo)

2021-08-21
來(lái)源:網(wǎng)空閑話

  一個(gè)疑是與伊朗政府關(guān)聯(lián)的網(wǎng)絡(luò)間諜組織一直在試圖利用供應(yīng)鏈工具和大型基礎(chǔ)設(shè)施來(lái)攻擊以色列IT公司,這些工具和設(shè)施使他們能夠冒充人力資源人員,以吸引 IT 專家并侵入他們的電腦,獲取他們公司的數(shù)據(jù)。

  至少?gòu)?2018 年起,該組織一直在中東和非洲開(kāi)展網(wǎng)絡(luò)間諜活動(dòng)。在安全公司 Clear sky 研究人員今年 5 月和 7 月檢測(cè)到的多起攻擊中,可以看到 Siamese kitten(暹羅貓)將社會(huì)工程技術(shù)與名為“ Shark ”的更新后門(mén)相結(jié)合,這是一個(gè)取代了另外一個(gè)更老惡意軟件“ Milan ”的變種。

  在最新分析報(bào)告中,Clearsky 的研究人員詳細(xì)描述了暹羅貓的攻擊戰(zhàn)術(shù)序列,主要包括以下階段:

  標(biāo)識(shí)定潛在的受害者(員工)。

  標(biāo)識(shí)定可能被冒充的人力資源部員工。

  建立冒充目標(biāo)組織的釣魚(yú)網(wǎng)站。

  創(chuàng)建與模仿的組織兼容的引誘文件。

  在 LinkedIn 上建立一個(gè)虛假的個(gè)人賬戶,冒充上述人力資源部員工。

  用一份“誘人”的工作邀請(qǐng)聯(lián)系潛在的受害者,詳細(xì)說(shuō)明在假冒的組織中的職位。

  發(fā)送帶有誘餌文件將受害者引誘到釣魚(yú)網(wǎng)站。

  米蘭后門(mén)惡意軟件感染計(jì)算機(jī)或服務(wù)器后,一個(gè)或多個(gè)惡意文件被下載。因此,在被感染的計(jì)算機(jī)和 C & C 服務(wù)器之間使用 DNS 和 HTTPS 建立連接。

  Dan Bot RAT 被下載到被感染的系統(tǒng)并加載。

  通過(guò)被感染的機(jī)器,該組織收集數(shù)據(jù),進(jìn)行間諜活動(dòng),并試圖在網(wǎng)絡(luò)內(nèi)移動(dòng)傳播。

  這一行動(dòng)類(lèi)似于朝鮮的“求職者”行動(dòng),使用了近年來(lái)廣泛使用的攻擊手段——冒充。許多攻擊組織正在執(zhí)行這種類(lèi)型的網(wǎng)絡(luò)行動(dòng),如在 2020 年夏天曝光的朝鮮拉撒路行動(dòng)( Dream Job )和伊朗石油鉆井行動(dòng)( APT 34 ),該行動(dòng)在 2021 年第一季度針對(duì)中東受害者,“研究人員表示。

  (制作的虛假的求職網(wǎng)站)

  黑客假冒一家知名公司的虛假工作邀請(qǐng),引誘潛在受害者。受害者被介紹到攻擊者控制的網(wǎng)站,該網(wǎng)站提供以色列、法國(guó)和英國(guó)的工作信息。為了向受害者的機(jī)器提供一個(gè)后門(mén),攻擊者使用兩個(gè)誘餌文件——一個(gè)使用惡意宏卸載后門(mén)的 Excel 文件和一個(gè)將相同的后門(mén)卸載到機(jī)器上的可執(zhí)行文件。

  攻擊者隨后在受害的計(jì)算機(jī)與命令和控制服務(wù)器之間建立連接,然后將進(jìn)一步的遠(yuǎn)程控制工具 RAT 下載到設(shè)備上。

  在”暹羅貓“活動(dòng)中,工具和技術(shù)分為三類(lèi):

  1. 社會(huì)工程技術(shù)——Siamesekitten使用社會(huì)工程技術(shù)來(lái)引誘潛在的受害者下載惡意文件:

  a.暹羅貓?jiān)谏缃痪W(wǎng)絡(luò)(主要是LinkedIn)上創(chuàng)建虛假個(gè)人資料。

  b.暹羅貓創(chuàng)建了釣魚(yú)網(wǎng)站,冒充提供誘人工作的公司。

  2. 誘餌文件——Siamesekitten使用了兩種類(lèi)型的誘餌文件來(lái)做同樣的事情——將惡意軟件下載到機(jī)器上:

  a. Excel文件,包括出現(xiàn)在假冒網(wǎng)站上的各種工作邀請(qǐng)的詳細(xì)信息。這個(gè)excel表格中嵌入了一個(gè)受口令保護(hù)的惡意軟件,旨在將惡意軟件下載到受害者的電腦上。

  b.便攜式可執(zhí)行文件(PE),據(jù)稱包括假冒組織使用的產(chǎn)品”目錄“。執(zhí)行該文件后,惡意軟件將被下載到機(jī)器上。

  3.攻擊文件和與C&C服務(wù)器的通信方式

  a.暹羅貓使用了一個(gè)后門(mén),在受害者打開(kāi)其中一個(gè)誘餌文件后,后門(mén)被加載到了機(jī)器上。隨后,DanBot RAT被下載到機(jī)器中,接著是該團(tuán)隊(duì)的新”鯊魚(yú)“后門(mén)。

  b.通過(guò)DNS查詢使C&C服務(wù)器和受感染機(jī)器之間進(jìn)行通信的惡意后門(mén)MILAN。

  c.通過(guò)DNS隧道通信——通過(guò)DNS查詢與不同的C&C服務(wù)器通信。我們發(fā)現(xiàn)C&C服務(wù)器地址被硬編碼到文件里了。

  d. RAT文件- DanBot RAT,被小組使用了好幾年。

  雖然 APT 似乎已經(jīng)將攻擊目標(biāo)轉(zhuǎn)向中東和非洲的組織,但研究人員認(rèn)為,他們對(duì)以色列 IT 和通信公司的關(guān)注只是通過(guò)供應(yīng)鏈攻擊損害客戶利益的一種方式。

  ”根據(jù)我們的評(píng)估,該組織的主要目標(biāo)是進(jìn)行間諜活動(dòng),并利用被感染的網(wǎng)絡(luò)獲取其客戶的網(wǎng)絡(luò)。和其他組織一樣,間諜活動(dòng)和情報(bào)收集可能是實(shí)施針對(duì)勒索軟件或惡意軟件的模擬攻擊的第一步,“克利爾斯基補(bǔ)充說(shuō)。



電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。