与伊朗政府有关联的黑客将攻击重点放在以色列的 IT 和通信公司上，可能是为了转向他们的真正目标。

这些活动归因于名为 Lyceum、Hexane 和 Siamesekitten 的伊朗 APT 组织，它们至少从 2018 年开始就开展间谍活动 [ 1 ,  2 ]。

在 5 月和 7 月检测到的多次攻击中，黑客将社会工程技术与更新的恶意软件变体相结合，最终使他们能够远程访问受感染的机器。

在一个案例中，黑客使用科技公司 ChipPC 前人力资源经理的名字创建了一个虚假的 LinkedIn 个人资料，这清楚地表明攻击者在开始活动之前已经做好了功课。

网络安全公司 ClearSky 的威胁研究人员 今天在一份报告中表示，Siamesekitten 行为者随后使用虚假配置文件以工作机会为借口向潜在受害者发送恶意软件：

1. 识别潜在受害者（员工）

2. 识别要冒充的人力资源部门员工

3. 创建一个冒充目标组织的网络钓鱼网站

4. 创建与模拟组织兼容的诱饵文件

5. 以人力资源员工的名义在 LinkedIn 上设置虚假个人资料

6. 通过“诱人”的工作机会联系潜在受害者，详细说明在假冒组织中的职位

7. 使用诱饵文件将受害者发送到网络钓鱼网站

8. 后门感染系统并通过 DNS 和 HTTPS 连接到 C&C 服务器

9. DanBot RAT 被下载到受感染的系统

10. 黑客为间谍目的获取数据并试图在网络上传播

ClearSky 认为 Siamesekitten 花了几个月的时间试图使用供应链工具破坏以色列的大量组织。

虽然威胁行为者的兴趣似乎已经从中东和非洲的组织改变了，但研究人员表示，以色列的 IT 和通信公司只是达到真正目标的一种手段。

“我们认为，这些攻击及其对 IT 和通信公司的关注旨在促进对其客户的供应链攻击。根据我们的评估，该组织的主要目标是进行间谍活动并利用受感染的网络来访问其客户的网络。与其他组织一样，间谍活动和情报收集可能是执行针对勒索软件或擦除器恶意软件的假冒攻击的第一步”——ClearSky

研究人员发现了两个网站，它们是 Siamesekitten 基础设施的一部分，用于针对以色列公司的网络间谍活动。

一个模仿德国企业软件公司Software AG的网站，另一个模仿ChipPc的网站。在这两种情况下，潜在受害者都被要求下载一个 Excel (XLS) 文件，该文件据称包含有关工作机会或简历格式的详细信息。

这两个文件包含一个受密码保护的恶意宏，它通过提取一个名为 MsNpENg 的后门来启动感染链。

ClearSky 指出，在他们观察到的两次活动之间（5 月到 7 月），Siamesekitten 从用 C++ 编写并命名为 Milan 的旧后门版本切换到一个名为 Shark 的新变体，它用 .NET 编写。

今天的报告 [ PDF ] 包含这两种变体的技术细节以及攻击者基础设施的 IP 地址、用于注册服务器的电子邮件地址以及恶意文件的哈希值。

原文来自: bleepingcomputer.com