伊朗网络间谍假借人力资源招募攻击以色列目标
2021-08-21
来源:网空闲话
一个疑是与伊朗政府关联的网络间谍组织一直在试图利用供应链工具和大型基础设施来攻击以色列IT公司,这些工具和设施使他们能够冒充人力资源人员,以吸引 IT 专家并侵入他们的电脑,获取他们公司的数据。
至少从 2018 年起,该组织一直在中东和非洲开展网络间谍活动。在安全公司 Clear sky 研究人员今年 5 月和 7 月检测到的多起攻击中,可以看到 Siamese kitten(暹罗猫)将社会工程技术与名为“ Shark ”的更新后门相结合,这是一个取代了另外一个更老恶意软件“ Milan ”的变种。
在最新分析报告中,Clearsky 的研究人员详细描述了暹罗猫的攻击战术序列,主要包括以下阶段:
标识定潜在的受害者(员工)。
标识定可能被冒充的人力资源部员工。
建立冒充目标组织的钓鱼网站。
创建与模仿的组织兼容的引诱文件。
在 LinkedIn 上建立一个虚假的个人账户,冒充上述人力资源部员工。
用一份“诱人”的工作邀请联系潜在的受害者,详细说明在假冒的组织中的职位。
发送带有诱饵文件将受害者引诱到钓鱼网站。
米兰后门恶意软件感染计算机或服务器后,一个或多个恶意文件被下载。因此,在被感染的计算机和 C & C 服务器之间使用 DNS 和 HTTPS 建立连接。
Dan Bot RAT 被下载到被感染的系统并加载。
通过被感染的机器,该组织收集数据,进行间谍活动,并试图在网络内移动传播。
这一行动类似于朝鲜的“求职者”行动,使用了近年来广泛使用的攻击手段——冒充。许多攻击组织正在执行这种类型的网络行动,如在 2020 年夏天曝光的朝鲜拉撒路行动( Dream Job )和伊朗石油钻井行动( APT 34 ),该行动在 2021 年第一季度针对中东受害者,“研究人员表示。
(制作的虚假的求职网站)
黑客假冒一家知名公司的虚假工作邀请,引诱潜在受害者。受害者被介绍到攻击者控制的网站,该网站提供以色列、法国和英国的工作信息。为了向受害者的机器提供一个后门,攻击者使用两个诱饵文件——一个使用恶意宏卸载后门的 Excel 文件和一个将相同的后门卸载到机器上的可执行文件。
攻击者随后在受害的计算机与命令和控制服务器之间建立连接,然后将进一步的远程控制工具 RAT 下载到设备上。
在”暹罗猫“活动中,工具和技术分为三类:
1. 社会工程技术——Siamesekitten使用社会工程技术来引诱潜在的受害者下载恶意文件:
a.暹罗猫在社交网络(主要是LinkedIn)上创建虚假个人资料。
b.暹罗猫创建了钓鱼网站,冒充提供诱人工作的公司。
2. 诱饵文件——Siamesekitten使用了两种类型的诱饵文件来做同样的事情——将恶意软件下载到机器上:
a. Excel文件,包括出现在假冒网站上的各种工作邀请的详细信息。这个excel表格中嵌入了一个受口令保护的恶意软件,旨在将恶意软件下载到受害者的电脑上。
b.便携式可执行文件(PE),据称包括假冒组织使用的产品”目录“。执行该文件后,恶意软件将被下载到机器上。
3.攻击文件和与C&C服务器的通信方式
a.暹罗猫使用了一个后门,在受害者打开其中一个诱饵文件后,后门被加载到了机器上。随后,DanBot RAT被下载到机器中,接着是该团队的新”鲨鱼“后门。
b.通过DNS查询使C&C服务器和受感染机器之间进行通信的恶意后门MILAN。
c.通过DNS隧道通信——通过DNS查询与不同的C&C服务器通信。我们发现C&C服务器地址被硬编码到文件里了。
d. RAT文件- DanBot RAT,被小组使用了好几年。
虽然 APT 似乎已经将攻击目标转向中东和非洲的组织,但研究人员认为,他们对以色列 IT 和通信公司的关注只是通过供应链攻击损害客户利益的一种方式。
”根据我们的评估,该组织的主要目标是进行间谍活动,并利用被感染的网络获取其客户的网络。和其他组织一样,间谍活动和情报收集可能是实施针对勒索软件或恶意软件的模拟攻击的第一步,“克利尔斯基补充说。