《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 伊朗網(wǎng)絡(luò)間諜假借人力資源招募攻擊以色列目標(biāo)

伊朗網(wǎng)絡(luò)間諜假借人力資源招募攻擊以色列目標(biāo)

2021-08-21
來源:網(wǎng)空閑話

  一個疑是與伊朗政府關(guān)聯(lián)的網(wǎng)絡(luò)間諜組織一直在試圖利用供應(yīng)鏈工具和大型基礎(chǔ)設(shè)施來攻擊以色列IT公司,這些工具和設(shè)施使他們能夠冒充人力資源人員,以吸引 IT 專家并侵入他們的電腦,,獲取他們公司的數(shù)據(jù),。

  至少從 2018 年起,,該組織一直在中東和非洲開展網(wǎng)絡(luò)間諜活動。在安全公司 Clear sky 研究人員今年 5 月和 7 月檢測到的多起攻擊中,,可以看到 Siamese kitten(暹羅貓)將社會工程技術(shù)與名為“ Shark ”的更新后門相結(jié)合,,這是一個取代了另外一個更老惡意軟件“ Milan ”的變種。

  在最新分析報(bào)告中,,Clearsky 的研究人員詳細(xì)描述了暹羅貓的攻擊戰(zhàn)術(shù)序列,,主要包括以下階段:

  標(biāo)識定潛在的受害者(員工)。

  標(biāo)識定可能被冒充的人力資源部員工,。

  建立冒充目標(biāo)組織的釣魚網(wǎng)站,。

  創(chuàng)建與模仿的組織兼容的引誘文件。

  在 LinkedIn 上建立一個虛假的個人賬戶,,冒充上述人力資源部員工,。

  用一份“誘人”的工作邀請聯(lián)系潛在的受害者,詳細(xì)說明在假冒的組織中的職位,。

  發(fā)送帶有誘餌文件將受害者引誘到釣魚網(wǎng)站,。

  米蘭后門惡意軟件感染計(jì)算機(jī)或服務(wù)器后,一個或多個惡意文件被下載,。因此,,在被感染的計(jì)算機(jī)和 C & C 服務(wù)器之間使用 DNS 和 HTTPS 建立連接。

  Dan Bot RAT 被下載到被感染的系統(tǒng)并加載,。

  通過被感染的機(jī)器,,該組織收集數(shù)據(jù),進(jìn)行間諜活動,,并試圖在網(wǎng)絡(luò)內(nèi)移動傳播,。

  這一行動類似于朝鮮的“求職者”行動,使用了近年來廣泛使用的攻擊手段——冒充,。許多攻擊組織正在執(zhí)行這種類型的網(wǎng)絡(luò)行動,,如在 2020 年夏天曝光的朝鮮拉撒路行動( Dream Job )和伊朗石油鉆井行動( APT 34 ),該行動在 2021 年第一季度針對中東受害者,,“研究人員表示,。

  (制作的虛假的求職網(wǎng)站)

  黑客假冒一家知名公司的虛假工作邀請,,引誘潛在受害者,。受害者被介紹到攻擊者控制的網(wǎng)站,該網(wǎng)站提供以色列,、法國和英國的工作信息,。為了向受害者的機(jī)器提供一個后門,攻擊者使用兩個誘餌文件——一個使用惡意宏卸載后門的 Excel 文件和一個將相同的后門卸載到機(jī)器上的可執(zhí)行文件,。

  攻擊者隨后在受害的計(jì)算機(jī)與命令和控制服務(wù)器之間建立連接,,然后將進(jìn)一步的遠(yuǎn)程控制工具 RAT 下載到設(shè)備上,。

  在”暹羅貓“活動中,工具和技術(shù)分為三類:

  1. 社會工程技術(shù)——Siamesekitten使用社會工程技術(shù)來引誘潛在的受害者下載惡意文件:

  a.暹羅貓?jiān)谏缃痪W(wǎng)絡(luò)(主要是LinkedIn)上創(chuàng)建虛假個人資料,。

  b.暹羅貓創(chuàng)建了釣魚網(wǎng)站,,冒充提供誘人工作的公司。

  2. 誘餌文件——Siamesekitten使用了兩種類型的誘餌文件來做同樣的事情——將惡意軟件下載到機(jī)器上:

  a. Excel文件,,包括出現(xiàn)在假冒網(wǎng)站上的各種工作邀請的詳細(xì)信息,。這個excel表格中嵌入了一個受口令保護(hù)的惡意軟件,旨在將惡意軟件下載到受害者的電腦上,。

  b.便攜式可執(zhí)行文件(PE),,據(jù)稱包括假冒組織使用的產(chǎn)品”目錄“。執(zhí)行該文件后,,惡意軟件將被下載到機(jī)器上,。

  3.攻擊文件和與C&C服務(wù)器的通信方式

  a.暹羅貓使用了一個后門,在受害者打開其中一個誘餌文件后,,后門被加載到了機(jī)器上,。隨后,DanBot RAT被下載到機(jī)器中,,接著是該團(tuán)隊(duì)的新”鯊魚“后門,。

  b.通過DNS查詢使C&C服務(wù)器和受感染機(jī)器之間進(jìn)行通信的惡意后門MILAN。

  c.通過DNS隧道通信——通過DNS查詢與不同的C&C服務(wù)器通信,。我們發(fā)現(xiàn)C&C服務(wù)器地址被硬編碼到文件里了,。

  d. RAT文件- DanBot RAT,被小組使用了好幾年,。

  雖然 APT 似乎已經(jīng)將攻擊目標(biāo)轉(zhuǎn)向中東和非洲的組織,,但研究人員認(rèn)為,他們對以色列 IT 和通信公司的關(guān)注只是通過供應(yīng)鏈攻擊損害客戶利益的一種方式,。

  ”根據(jù)我們的評估,,該組織的主要目標(biāo)是進(jìn)行間諜活動,并利用被感染的網(wǎng)絡(luò)獲取其客戶的網(wǎng)絡(luò),。和其他組織一樣,,間諜活動和情報(bào)收集可能是實(shí)施針對勒索軟件或惡意軟件的模擬攻擊的第一步,“克利爾斯基補(bǔ)充說,。



電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]