Iránski hackeri sa zamerali na niekoľko izraelských organizácií s dodávateľským reťazcom

IT a komunikačné spoločnosti v Izraeli boli stredobodom útočnej kampane dodávateľského reťazca vedenej iránskym aktérom hrozby, ktorý zahŕňal vydávanie sa za firmy a ich personálne oddelenie s cieľom zamerať sa na obete falošnými pracovnými ponukami v snahe preniknúť do ich počítačov a získať prístup k klientov spoločnosti.

Útoky, ku ktorým došlo v dvoch vlnách v máji a júli 2021, sú spojené s hackerskou skupinou s názvom Siamesekitten (aka Lyceum alebo Hexane), ktorá si primárne vybrala poskytovateľov ropy, plynu a telekomunikácií na Blízkom východe a prinajmenšom v Afrike. od roku 2018 výskumníci z ClearSky uviedli v správe zverejnenej v utorok.

Infekcie spôsobené protivníkom sa začali identifikáciou potenciálnych obetí, ktoré sa potom nechali zlákať „lákavými“ pracovnými ponukami v známych spoločnostiach ako ChipPc a Software AG vydávaním sa za zamestnancov oddelenia ľudských zdrojov z vydávaných firiem, len aby obete priviedli k phishingová webová stránka obsahujúca súbory so zbraňami, ktoré uvoľňujú zadné vrátka známe ako Miláno, aby vytvorili spojenie so vzdialeným serverom a stiahli si trójsky kôň pre vzdialený prístup druhej fázy s názvom DanBot.

ClearSky teoretizovala, že zameranie útokov na IT a komunikačné spoločnosti naznačuje, že ich cieľom je uľahčiť útoky dodávateľského reťazca na ich klientov.

Okrem využívania návnadových dokumentov ako počiatočného vektora útoku zahŕňala infraštruktúra skupiny vytváranie podvodných webových stránok na napodobňovanie spoločnosti, za ktorú sa vydáva, ako aj vytváranie falošných profilov na LinkedIn. Súbory s návnadou majú formu makro vloženej tabuľky programu Excel, ktorá podrobne uvádza predpokladané pracovné ponuky, a prenosného spustiteľného súboru (PE), ktorý obsahuje „katalóg“ produktov používaných zosobnenou organizáciou.

Bez ohľadu na súbor stiahnutý obeťou, reťaz útokov vyvrcholí inštaláciou zadného vrátka Milana založeného na C++. Útoky proti izraelským spoločnostiam z júla 2021 sú pozoruhodné aj tým, že aktér hrozby nahradil Milana novým implantátom s názvom Shark, ktorý je napísaný v .NET.

„Táto kampaň je podobná severokórejskej kampani „uchádzačov o prácu“ a využíva to, čo sa v posledných rokoch stalo široko používaným vektorom útokov – odcudzenie identity,“ uviedla izraelská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou. “Hlavným cieľom skupiny je vykonávať špionáž a využívať infikovanú sieť na získanie prístupu do sietí svojich klientov. Rovnako ako v prípade iných skupín je možné, že špionáž a zhromažďovanie spravodajských informácií sú prvými krokmi k vykonaniu útokov zameraných na ransomvér alebo malvér stieračov.” “