一個(gè)疑是與伊朗政府關(guān)聯(lián)的網(wǎng)絡(luò)間諜組織一直在試圖利用供應(yīng)鏈工具和大型基礎(chǔ)設(shè)施來(lái)攻擊以色列IT公司,這些工具和設(shè)施使他們能夠冒充人力資源人員,以吸引 IT 專家并侵入他們的電腦,獲取他們公司的數(shù)據(jù)。
至少?gòu)?2018 年起,該組織一直在中東和非洲開(kāi)展網(wǎng)絡(luò)間諜活動(dòng)。在安全公司 Clear sky 研究人員今年 5 月和 7 月檢測(cè)到的多起攻擊中,可以看到 Siamese kitten(暹羅貓)將社會(huì)工程技術(shù)與名為“ Shark ”的更新后門(mén)相結(jié)合,這是一個(gè)取代了另外一個(gè)更老惡意軟件“ Milan ”的變種。
在最新分析報(bào)告中,Clearsky 的研究人員詳細(xì)描述了暹羅貓的攻擊戰(zhàn)術(shù)序列,主要包括以下階段:
標(biāo)識(shí)定潛在的受害者(員工)。
標(biāo)識(shí)定可能被冒充的人力資源部員工。
建立冒充目標(biāo)組織的釣魚(yú)網(wǎng)站。
創(chuàng)建與模仿的組織兼容的引誘文件。
在 LinkedIn 上建立一個(gè)虛假的個(gè)人賬戶,冒充上述人力資源部員工。
用一份“誘人”的工作邀請(qǐng)聯(lián)系潛在的受害者,詳細(xì)說(shuō)明在假冒的組織中的職位。
發(fā)送帶有誘餌文件將受害者引誘到釣魚(yú)網(wǎng)站。
米蘭后門(mén)惡意軟件感染計(jì)算機(jī)或服務(wù)器后,一個(gè)或多個(gè)惡意文件被下載。因此,在被感染的計(jì)算機(jī)和 C & C 服務(wù)器之間使用 DNS 和 HTTPS 建立連接。
Dan Bot RAT 被下載到被感染的系統(tǒng)并加載。
通過(guò)被感染的機(jī)器,該組織收集數(shù)據(jù),進(jìn)行間諜活動(dòng),并試圖在網(wǎng)絡(luò)內(nèi)移動(dòng)傳播。
這一行動(dòng)類(lèi)似于朝鮮的“求職者”行動(dòng),使用了近年來(lái)廣泛使用的攻擊手段——冒充。許多攻擊組織正在執(zhí)行這種類(lèi)型的網(wǎng)絡(luò)行動(dòng),如在 2020 年夏天曝光的朝鮮拉撒路行動(dòng)( Dream Job )和伊朗石油鉆井行動(dòng)( APT 34 ),該行動(dòng)在 2021 年第一季度針對(duì)中東受害者,“研究人員表示。
(制作的虛假的求職網(wǎng)站)
黑客假冒一家知名公司的虛假工作邀請(qǐng),引誘潛在受害者。受害者被介紹到攻擊者控制的網(wǎng)站,該網(wǎng)站提供以色列、法國(guó)和英國(guó)的工作信息。為了向受害者的機(jī)器提供一個(gè)后門(mén),攻擊者使用兩個(gè)誘餌文件——一個(gè)使用惡意宏卸載后門(mén)的 Excel 文件和一個(gè)將相同的后門(mén)卸載到機(jī)器上的可執(zhí)行文件。
攻擊者隨后在受害的計(jì)算機(jī)與命令和控制服務(wù)器之間建立連接,然后將進(jìn)一步的遠(yuǎn)程控制工具 RAT 下載到設(shè)備上。
在”暹羅貓“活動(dòng)中,工具和技術(shù)分為三類(lèi):
1. 社會(huì)工程技術(shù)——Siamesekitten使用社會(huì)工程技術(shù)來(lái)引誘潛在的受害者下載惡意文件:
a.暹羅貓?jiān)谏缃痪W(wǎng)絡(luò)(主要是LinkedIn)上創(chuàng)建虛假個(gè)人資料。
b.暹羅貓創(chuàng)建了釣魚(yú)網(wǎng)站,冒充提供誘人工作的公司。
2. 誘餌文件——Siamesekitten使用了兩種類(lèi)型的誘餌文件來(lái)做同樣的事情——將惡意軟件下載到機(jī)器上:
a. Excel文件,包括出現(xiàn)在假冒網(wǎng)站上的各種工作邀請(qǐng)的詳細(xì)信息。這個(gè)excel表格中嵌入了一個(gè)受口令保護(hù)的惡意軟件,旨在將惡意軟件下載到受害者的電腦上。
b.便攜式可執(zhí)行文件(PE),據(jù)稱包括假冒組織使用的產(chǎn)品”目錄“。執(zhí)行該文件后,惡意軟件將被下載到機(jī)器上。
3.攻擊文件和與C&C服務(wù)器的通信方式
a.暹羅貓使用了一個(gè)后門(mén),在受害者打開(kāi)其中一個(gè)誘餌文件后,后門(mén)被加載到了機(jī)器上。隨后,DanBot RAT被下載到機(jī)器中,接著是該團(tuán)隊(duì)的新”鯊魚(yú)“后門(mén)。
b.通過(guò)DNS查詢使C&C服務(wù)器和受感染機(jī)器之間進(jìn)行通信的惡意后門(mén)MILAN。
c.通過(guò)DNS隧道通信——通過(guò)DNS查詢與不同的C&C服務(wù)器通信。我們發(fā)現(xiàn)C&C服務(wù)器地址被硬編碼到文件里了。
d. RAT文件- DanBot RAT,被小組使用了好幾年。
雖然 APT 似乎已經(jīng)將攻擊目標(biāo)轉(zhuǎn)向中東和非洲的組織,但研究人員認(rèn)為,他們對(duì)以色列 IT 和通信公司的關(guān)注只是通過(guò)供應(yīng)鏈攻擊損害客戶利益的一種方式。
”根據(jù)我們的評(píng)估,該組織的主要目標(biāo)是進(jìn)行間諜活動(dòng),并利用被感染的網(wǎng)絡(luò)獲取其客戶的網(wǎng)絡(luò)。和其他組織一樣,間諜活動(dòng)和情報(bào)收集可能是實(shí)施針對(duì)勒索軟件或惡意軟件的模擬攻擊的第一步,“克利爾斯基補(bǔ)充說(shuō)。