一封Offer带来的供应链攻击:伊朗黑客冒充HR攻击以色列IT和通信公司

安全
ClearSky 的研究人员表示,近期发现名为 Siamesekitten(又名 Lyceum 或 Hexane)的黑客组织在 2021 年 5 月和 7 月针对以色列的 IT 和通信公司发起了供应链攻击。

ClearSky 的研究人员表示,近期发现名为 Siamesekitten(又名 Lyceum 或 Hexane)的黑客组织在 2021 年 5 月和 7 月针对以色列的 IT 和通信公司发起了供应链攻击。

[[418522]]

攻击流程分析

整个攻击流程大体如下所示:

(1) 攻击者针对潜在的受害者,通过伪装成指定公司的人力资源专员(HR),以 ChipPc 和 Software AG 公司的“诱人”的工作机会为诱饵。

image.png-222.3kB

攻击者伪造了两个网站,一个模仿德国企业软件公司Software AG的网站,另一个模仿ChipPc的网站。Software AG 和 ChipPc 都是软件开发公司。因此ClearSky 推测,Siamesekitten 攻击主要针对 IT 和通信公司,并试图使用供应链攻击破坏以色列企业。

image.png-770kB

image.png-348kB

(2) 攻击者在领英上设置虚假个人资料,详细说明职位信息,引导受害者访问钓鱼网站,诱使用户下载诱饵文件。

除了使用诱饵文件作为初始攻击向量以及构建欺诈网站之外,该攻击组织还在 LinkedIn 上创建虚假个人资料。

image.png-99.4kB

(3) 用户执行后下载名为 Milan 的后门,通过 DNS 和 HTTPS 连接到 C&C 服务器渗透进入公司。拉取名为 DanBot 的远控木马,窃取数据并横向平移。

诱饵文件在 Excel 文件中插入宏代码,文件中描述了虚假的工作机会和组织使用的产品目录,还会释放 PE 文件。

image.png-592.2kB

此前攻击链走到最后都会是 C++ 编写的 Milan 后门,2021 年 7 月针对以色列的公司的攻击使用 .NET 编写的 Shark 代替了 Milan。

image.png-255.6kB

如下所示,与 C&C 服务器通信。

image.png-342.9kB

以色列安全公司 ClearSky 表示:

  • “该组织的攻击行动与朝鲜的黑客组织类似,也经常使用伪装术。
  • “该组织的主要目标是进行间谍活动,并利用失陷主机对目标公司的其他网络进行攻击。”

image.png-238.1kB

Siamesekitten组织

Siamesekitten(又名Lyceum、Hexane)是一个活跃在中东和非洲的伊朗 APT 组织,该组织至少从 2018 年开始就在积极开展间谍活动。

Dragos 公司在去年发布的一份报告中指出,该 APT 组织主要攻击中东地区的石油和天然气公司,其中“科威特是主要的目标行动地区”。

该组织的主要攻击对象是能源企业,但该组织也攻击位于大中东地区、中亚地区和非洲地区的电信提供商。

此外,安全公司Dragos和Secureworks表示该组织使用的策略,技术和程序(TTPs)类似于APT33和APT34,而后两个APT组织通常被认为与伊朗有关。

IOC

  1. a90ae3747764127decae5a0d7856ef95 
  2. 254e134490a0b74b3a66626fc0d62ff972cfc1a2 
  3. 08261ed40e21140eb438f16af0233217c701d9b022dce0a45b6e3e1ee2467739 
  4. a5aecb5b2c495a4a9631fca9b36aaf44 
  5. c2e48c8e697ec88bf8057a5c0f1dc3005773956c 
  6. 586b25053bd98c8f8e50ff01d35aaa438e10458a36c56e75f0e803d3e97a6012 
  7. ce243f6a09daca21486b1f6f7a6fc403 
  8. 7a463341e5de49afef99bcfdc59e1cb69bd898f0 
  9. 5208cca3c4a8c42d590de4cfed4abfd37e99247bc06cba529dec55b836a55e74 
  10. d30bcd249fc066e341997e2abc0878da 
  11. 022abfd7b63e3feac77bbada610d1de0931b68bb 
  12. 8a1aba0de3f00c04dbaa8ebb905f7398a2b532619a1b0f5a715e0ad04de0d06b 
  13. fd3e147521114d6ebc8924ce6cd5e253 
  14. 3ce71f269f191dad1c9ed137a5f439788d10cd5a 
  15. 99a8d8bb87070458c0c007205418e7a209f0b97914045ff4121b4df4b54ce554 
  16. e80c5a18c5a3a5cf2764535f8795bb81 
  17. 9e3c2030a4bc9b89727346bc447701bd43c841e4 
  18. 74c331cfacbe57f3c92a4bddce237253cab52755f2149625eff18e0ecdbcdda2 
  19. e2919dea773eb0796e46e126dbce17b1 
  20. 94aa7417f388c61a2d63ddcba6efec80c55f8555 
  21. b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249 
  22. a4185f95c61076590ca2eb96e4697c73 
  23. 1b990280fd7f13143bddb1cfd69265650aecf49f 
  24. 89ab99f5721b691e5513f4192e7c96eb0981ddb6c2d2b94c1a32e2df896397b8 
  25. 49b002fc6729f346f8114770ea991510 
  26. ee98f9fb8050d7232466da064637e8afc285f2c4 
  27. f6ae4f4373510c4e096fab84383b547c8997ccf3673c00660df8a3dc9ed1f3ca 
  28. 3a3d600ad9c9615f18003620a1bf5f28 
  29. 7b3b3b8aa37ca78c46ec2774784cf51d190733e8 
  30. 44faf11719b3a679e7a6dd5db40033ec4dd6e1b0361c145b81586cb735a64112 
  31. 1d94961261c5da63ff5faa7616cec579 
  32. 41ad24e9ca3e36d9e55d574248482bf81e263c12 
  33. 2f2ef9e3f6db2146bd277d3c4e94c002ecaf7deaabafe6195fddabc81a8ee76c 
  34. 3e993dfe5ce90dadb0cf0707d260febd 
  35. 69d58a5ff2c0343119816d34ce9da8d9bc6f47c9 
  36. 21ab4357262993a042c28c1cdb52b2dab7195a6c30fa8be723631604dd330b29 
  37. 52c6326af893e3baa1c43c59827f61eb 
  38. 3b31bbfee1dd606e40e17759f79c12b423f2cf6f 
  39. 4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248 
  40. e8d3aeea7617982bb6e484a9f8307e6b 
  41. 09bd833782a6b2cccdd3285ad12f23bedb1dbb77 
  42. d3606e2e36db0a0cb1b8168423188ee66332cae24fe59d63f93f5f53ab7c3029 
  43. softwareagjobs.com 
  44. Jobschippc.com  
  45. dnsstatus.org  
  46. defenderstatus.com 
  47. defenderlive.com 
  48. wsuslink.com 
  49. Akastatus.com 
  50. Zonestatistic.com  
  51. 23.95.218.240  
  52. 23.94.22.145 
  53. 23.95.9.100 
  54. 185.243.112.120 
  55. 185.243.112.120 
  56. 185.244.213.73 
  57. 98.117.103.32 
  58. 51.79.62.98 
  59. 198.23.239.140 

 

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2020-12-22 10:50:01

黑客勒索软件攻击

2020-12-08 18:35:56

黑客攻击网络安全

2024-05-23 15:13:06

2024-03-20 06:52:16

2020-08-14 16:36:13

网络安全黑客技术

2022-04-13 14:49:59

安全供应链Go

2021-04-25 15:49:06

拜登黑客攻击

2022-04-06 10:12:51

Go供应链攻击风险

2020-12-24 11:09:44

VMwareCiscoSolarWinds

2023-11-13 16:29:07

2020-12-31 11:02:47

网络钓鱼漏洞攻击

2021-09-12 14:38:41

SolarWinds供应链攻击Autodesk

2022-03-14 14:37:53

网络攻击供应链攻击漏洞

2021-04-07 18:32:05

黑客网络安全网络攻击

2021-09-16 14:59:18

供应链攻击漏洞网络攻击

2020-06-01 08:45:17

GitHub代码开发者

2021-05-11 11:11:00

漏洞网络安全网络攻击

2021-04-04 22:21:15

网络攻击供应链数据泄露

2021-12-17 11:26:19

黑客网络安全网络攻击

2022-05-12 09:45:41

网络钓鱼网络攻击供应链攻击
点赞
收藏

51CTO技术栈公众号