伊朗黑客通过软件供应链攻击瞄准多个以色列组织

伊朗黑客针对几个以色列组织,供应链攻击

以色列的 IT 和通信公司处于由伊朗威胁行为者牵头的供应链攻击活动的中心,该活动涉及冒充这些公司及其人力资源人员,以提供虚假工作机会的受害者为目标,试图渗透他们的计算机并访问公司的客户。

这些攻击发生在 2021 年 5 月和 7 月的两波攻击中,与一个名为 Siamesekitten(又名 Lyceum 或 Hexane)的黑客组织有关,该组织主要针对中东和非洲的石油、天然气和电信供应商自 2018 年以来,ClearSky 的研究人员在周二发布的一份报告中表示

攻击者进行的感染首先是识别潜在的受害者,然后他们通过伪装成来自被冒充公司的人力资源部门员工,被 ChipPc 和 Software AG 等知名公司的“诱人”工作机会引诱,只将受害者引向包含武器化文件的网络钓鱼网站,这些文件会卸载名为 Milan 的后门,以与远程服务器建立连接并下载名为 DanBot 的第二阶段远程访问木马。

伊朗黑客针对几个以色列组织,供应链攻击

ClearSky 推测,这些攻击主要针对 IT 和通信公司,这表明它们旨在促进对其客户的供应链攻击。

除了使用诱饵文件作为初始攻击媒介外,该组织的基础设施还包括建立欺诈网站以模仿被冒充的公司以及在 LinkedIn 上创建虚假个人资料。就他们而言,诱饵文件采用宏嵌入 Excel 电子表格的形式,其中详细说明了假定的工作机会和一个便携式可执行 (PE) 文件,其中包括被冒充组织使用的产品“目录”。

伊朗黑客针对几个以色列组织,供应链攻击

无论受害者下载什么文件,攻击链最终都会安装基于 C++ 的 Milan 后门。2021 年 7 月对以色列公司的攻击也值得注意的是,威胁行为者用一种名为 Shark 的新植入物取代了米兰,该植入物是用 .NET 编写的。

这家以色列网络安全公司表示:“该活动类似于朝鲜的‘求职者’活动,采用了近年来广泛使用的攻击媒介——冒充。” “该组织的主要目标是进行间谍活动并利用受感染的网络访问其客户的网络。与其他组织一样,间谍活动和情报收集可能是执行针对勒索软件或擦除器恶意软件的模拟攻击的第一步。 ”

 

伊朗黑客通过软件供应链攻击瞄准多个以色列组织

极牛网精选文章《伊朗黑客通过软件供应链攻击瞄准多个以色列组织》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://jikenb.com/15930.html

发表评论

登录后才能评论