ClearSky,研究人员表示,他们最近发现一个名为Siamesekitten(又名Lyceum或Hexane)的黑客组织在2021年5月参与其中7月份针对以色列IT和通信公司发起了供应链攻击。攻击过程分析整个攻击过程大致如下:(1)攻击者伪装成指定公司的人力资源专员(HR),以ChipPc和SoftwareAG的“诱人”工作机会为诱饵,瞄准潜在受害者。攻击者伪造了两个网站,一个模仿德国企业软件公司SoftwareAG的网站,另一个模仿ChipPc的网站。SoftwareAG和ChipPc都是软件开发公司。因此,ClearSky推测Siamesekitten攻击主要针对IT和通信公司,并试图通过供应链攻击来扰乱以色列企业。(2)攻击者在LinkedIn上设置虚假个人信息,详细介绍职位信息,引导受害者访问钓鱼网站,引诱用户下载诱饵文件。除了使用诱饵文件作为初始攻击媒介和构建欺诈网站外,该组织还在LinkedIn上创建虚假个人资料。(3)执行后,用户下载一个名为Milan的后门,通过DNS和HTTPS连接C&C服务器,渗透到公司内部。拉取名为DanBot的远程控制木马,窃取数据并横向摇摄。诱饵文件在Excel文件中插入宏代码,描述该组织使用的虚假工作机会和产品目录,还会投放PE文件。以前,攻击链会以用C++编写的Milan后门结束。2021年7月,针对以色列公司的攻击使用了用.NET编写的Shark,而不是Milan。与C&C服务器通信,如下所示。以色列安全公司ClearSky表示:“该组织的攻击行动与朝鲜黑客组织类似,他们经常使用伪装手段。”该组织的主要目标是进行间谍活动,并使用受感染的主机攻击目标公司的其他网络。SiamesekittenSiamesekitten(又名Lyceum、Hexane)是一个活跃于中东和非洲的伊朗APT组织,至少自2018年以来一直活跃于间谍活动。Dragos在去年发布的一份报告中指出,APT组织主要攻击中东地区的油气公司,其中“科威特是主要的行动目标区域”。该组织的主要目标是能源公司,但该组织也攻击位于大中东、中亚和非洲的电信供应商。此外,安全公司Dragos和Secureworks表示,该组织使用了类似于APT33和APT34的策略、技术和程序(TTP),后两个APT组织通常被认为与伊朗有关。IOCa90ae3747764127decae5a0d7856ef95254e134490a0b74b3a66626fc0d62ff972cfc1a208261ed40e21140eb438f16af0233217c701d9b022dce0a45b6e3e1ee2467739a5aecb5b2c495a4a9631fca9b36aaf44c2e48c8e697ec88bf8057a5c0f1dc3005773956c586b25053bd98c8f8e50ff01d35aaa438e10458a36c56e75f0e803d3e97a6012ce243f6a09daca21486b1f6f7a6fc4037a463341e5de49afef99bcfdc59e1cb69bd898f05208cca??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.comjobschippc.comdnsstatus.orgdefenderstatus.comdefenderlive.comwsuslink.com.akastatus.comzonestatist
