一個疑是與伊朗政府關聯(lián)的網(wǎng)絡間諜組織一直在試圖利用供應鏈工具和大型基礎設施來攻擊以色列IT公司，這些工具和設施使他們能夠冒充人力資源人員，以吸引 IT 專家并侵入他們的電腦，獲取他們公司的數(shù)據(jù)。

　　至少從 2018 年起，該組織一直在中東和非洲開展網(wǎng)絡間諜活動。在安全公司 Clear sky 研究人員今年 5 月和 7 月檢測到的多起攻擊中，可以看到 Siamese kitten（暹羅貓）將社會工程技術(shù)與名為“ Shark ”的更新后門相結(jié)合，這是一個取代了另外一個更老惡意軟件“ Milan ”的變種。

　　在最新分析報告中，Clearsky 的研究人員詳細描述了暹羅貓的攻擊戰(zhàn)術(shù)序列，主要包括以下階段：

　　標識定潛在的受害者（員工）。

　　標識定可能被冒充的人力資源部員工。

　　建立冒充目標組織的釣魚網(wǎng)站。

　　創(chuàng)建與模仿的組織兼容的引誘文件。

　　在 LinkedIn 上建立一個虛假的個人賬戶，冒充上述人力資源部員工。

　　用一份“誘人”的工作邀請聯(lián)系潛在的受害者，詳細說明在假冒的組織中的職位。

　　發(fā)送帶有誘餌文件將受害者引誘到釣魚網(wǎng)站。

　　米蘭后門惡意軟件感染計算機或服務器后，一個或多個惡意文件被下載。因此，在被感染的計算機和 C & C 服務器之間使用 DNS 和 HTTPS 建立連接。

　　Dan Bot RAT 被下載到被感染的系統(tǒng)并加載。

　　通過被感染的機器，該組織收集數(shù)據(jù)，進行間諜活動，并試圖在網(wǎng)絡內(nèi)移動傳播。

　　這一行動類似于朝鮮的“求職者”行動，使用了近年來廣泛使用的攻擊手段——冒充。許多攻擊組織正在執(zhí)行這種類型的網(wǎng)絡行動，如在 2020 年夏天曝光的朝鮮拉撒路行動（ Dream Job ）和伊朗石油鉆井行動（ APT 34 ），該行動在 2021 年第一季度針對中東受害者，“研究人員表示。

　?。ㄖ谱鞯奶摷俚那舐毦W(wǎng)站）

　　黑客假冒一家知名公司的虛假工作邀請，引誘潛在受害者。受害者被介紹到攻擊者控制的網(wǎng)站，該網(wǎng)站提供以色列、法國和英國的工作信息。為了向受害者的機器提供一個后門，攻擊者使用兩個誘餌文件——一個使用惡意宏卸載后門的 Excel 文件和一個將相同的后門卸載到機器上的可執(zhí)行文件。

　　攻擊者隨后在受害的計算機與命令和控制服務器之間建立連接，然后將進一步的遠程控制工具 RAT 下載到設備上。

　　在”暹羅貓“活動中，工具和技術(shù)分為三類：

　　1. 社會工程技術(shù)——Siamesekitten使用社會工程技術(shù)來引誘潛在的受害者下載惡意文件：

　　a.暹羅貓在社交網(wǎng)絡（主要是LinkedIn）上創(chuàng)建虛假個人資料。

　　b.暹羅貓創(chuàng)建了釣魚網(wǎng)站，冒充提供誘人工作的公司。

　　2. 誘餌文件——Siamesekitten使用了兩種類型的誘餌文件來做同樣的事情——將惡意軟件下載到機器上：

　　a. Excel文件，包括出現(xiàn)在假冒網(wǎng)站上的各種工作邀請的詳細信息。這個excel表格中嵌入了一個受口令保護的惡意軟件，旨在將惡意軟件下載到受害者的電腦上。

　　b.便攜式可執(zhí)行文件（PE），據(jù)稱包括假冒組織使用的產(chǎn)品”目錄“。執(zhí)行該文件后，惡意軟件將被下載到機器上。

　　3.攻擊文件和與C&C服務器的通信方式

　　a.暹羅貓使用了一個后門，在受害者打開其中一個誘餌文件后，后門被加載到了機器上。隨后，DanBot RAT被下載到機器中，接著是該團隊的新”鯊魚“后門。

　　b.通過DNS查詢使C&C服務器和受感染機器之間進行通信的惡意后門MILAN。

　　c.通過DNS隧道通信——通過DNS查詢與不同的C&C服務器通信。我們發(fā)現(xiàn)C&C服務器地址被硬編碼到文件里了。

　　d. RAT文件- DanBot RAT，被小組使用了好幾年。

　　雖然 APT 似乎已經(jīng)將攻擊目標轉(zhuǎn)向中東和非洲的組織，但研究人員認為，他們對以色列 IT 和通信公司的關注只是通過供應鏈攻擊損害客戶利益的一種方式。

　　”根據(jù)我們的評估，該組織的主要目標是進行間諜活動，并利用被感染的網(wǎng)絡獲取其客戶的網(wǎng)絡。和其他組織一樣，間諜活動和情報收集可能是實施針對勒索軟件或惡意軟件的模擬攻擊的第一步，“克利爾斯基補充說。