记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

政府黑客冒充人力资源员工攻击以色列目标

2021-08-19 11:44

更多全球网络安全资讯尽在邑安全

与伊朗政府有关联的黑客将攻击重点放在以色列的 IT 和通信公司上,可能是为了转向他们的真正目标。

这些活动归因于名为 Lyceum、Hexane 和 Siamesekitten 的伊朗 APT 组织,它们至少从 2018 年开始就开展间谍活动 [ 1 ,  2 ]。

在 5 月和 7 月检测到的多次攻击中,黑客将社会工程技术与更新的恶意软件变体相结合,最终使他们能够远程访问受感染的机器。

在一个案例中,黑客使用科技公司 ChipPC 前人力资源经理的名字创建了一个虚假的 LinkedIn 个人资料,这清楚地表明攻击者在开始活动之前已经做好了功课。


网络安全公司 ClearSky 的威胁研究人员 今天在一份报告中表示,Siamesekitten 行为者随后使用虚假配置文件以工作机会为借口向潜在受害者发送恶意软件:

  1. 识别潜在受害者(员工)

  2. 识别要冒充的人力资源部门员工

  3. 创建一个冒充目标组织的网络钓鱼网站

  4. 创建与模拟组织兼容的诱饵文件

  5. 以人力资源员工的名义在 LinkedIn 上设置虚假个人资料

  6. 通过“诱人”的工作机会联系潜在受害者,详细说明在假冒组织中的职位

  7. 使用诱饵文件将受害者发送到网络钓鱼网站

  8. 后门感染系统并通过 DNS 和 HTTPS 连接到 C&C 服务器

  9. DanBot RAT 被下载到受感染的系统

  10. 黑客为间谍目的获取数据并试图在网络上传播

ClearSky 认为 Siamesekitten 花了几个月的时间试图使用供应链工具破坏以色列的大量组织。

虽然威胁行为者的兴趣似乎已经从中东和非洲的组织改变了,但研究人员表示,以色列的 IT 和通信公司只是达到真正目标的一种手段。

“我们认为,这些攻击及其对 IT 和通信公司的关注旨在促进对其客户的供应链攻击。根据我们的评估,该组织的主要目标是进行间谍活动并利用受感染的网络来访问其客户的网络。与其他组织一样,间谍活动和情报收集可能是执行针对勒索软件或擦除器恶意软件的假冒攻击的第一步”——ClearSky

研究人员发现了两个网站,它们是 Siamesekitten 基础设施的一部分,用于针对以色列公司的网络间谍活动。

一个模仿德国企业软件公司Software AG的网站,另一个模仿ChipPc的网站。在这两种情况下,潜在受害者都被要求下载一个 Excel (XLS) 文件,该文件据称包含有关工作机会或简历格式的详细信息。

这两个文件包含一个受密码保护的恶意宏,它通过提取一个名为 MsNpENg 的后门来启动感染链。

ClearSky 指出,在他们观察到的两次活动之间(5 月到 7 月),Siamesekitten 从用 C++ 编写并命名为 Milan 的旧后门版本切换到一个名为 Shark 的新变体,它用 .NET 编写。

今天的报告 [ PDF ] 包含这两种变体的技术细节以及攻击者基础设施的 IP 地址、用于注册服务器的电子邮件地址以及恶意文件的哈希值。

原文来自: bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/govt-hackers-impersonate-hr-employees-to-hit-israeli-targets/

欢迎收藏并分享朋友圈,让五邑人网络更安全

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 




知识来源: https://mp.weixin.qq.com/s?__biz=MzUyMzczNzUyNQ==&mid=2247506955&idx=1&sn=5d0bbfb8eed2f9126a330638305738bb

阅读:340320 | 评论:0 | 标签:攻击 黑客

想收藏或者和大家分享这篇好文章→复制链接地址

“政府黑客冒充人力资源员工攻击以色列目标”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

标签云 ☁