Правительственные хакеры выдают себя за сотрудников отдела кадров, чтобы поразить израильские цели

31
Второй фермерский кооператив закрылся на этой неделе из-за вирусов-вымогателей

Хакеры, связанные с иранским правительством, сосредоточили свои усилия на атаках на ИТ-компании и компании связи в Израиле, вероятно, в попытке повернуться к своим реальным целям.

Эти кампании приписываются иранской APT-группе, известной как Lyceum, Hexane и Siamesekitten, ведущей шпионские кампании как минимум с 2018 года [ 1 , 2 ].

В нескольких атаках, обнаруженных в мае и июле, хакеры объединили методы социальной инженерии с обновленным вариантом вредоносного ПО, которое в конечном итоге предоставило им удаленный доступ к зараженной машине.

В одном случае хакеры использовали имя бывшего менеджера по персоналу технологической компании ChipPC для создания поддельного профиля в LinkedIn, что явственно свидетельствует о том, что злоумышленники сделали свою домашнюю работу перед началом кампании.

Исследователи угроз из компании ClearSky, занимающейся кибербезопасностью, в своем  сегодняшнем отчете говорят, что субъекты Siamesekitten затем использовали поддельный профиль для доставки вредоносного ПО потенциальным жертвам под предлогом предложения о работе:

  1. Выявление потенциальной жертвы (сотрудника)
  2. Определение сотрудника отдела кадров для выдачи себя за другое лицо
  3. Создание фишингового веб-сайта, выдающего себя за целевую организацию.
  4. Создание файлов приманок, совместимых с вымышленной организацией.
  5. Настройка поддельного профиля в LinkedIn на имя сотрудника отдела кадров
  6. Обращение к потенциальным жертвам с “заманчивым” предложением о работе с подробным описанием должности в вымышленной организации.
  7. Отправка жертвы на фишинговый сайт с файлом-приманкой
  8. Бэкдор заражает систему и подключается к C&C серверу через DNS и HTTPS.
  9. DanBot RAT загружается в зараженную систему.
  10. Хакеры получают данные в целях шпионажа и пытаются распространить их в сети.

ClearSky считает, что Siamesekitten потратила месяцы, пытаясь взломать большое количество организаций в Израиле, используя инструменты цепочки поставок.

В то время как интерес злоумышленников, похоже, изменился с организаций на Ближнем Востоке и в Африке, исследователи говорят, что ИТ-компании и коммуникационные компании в Израиле являются лишь средством достижения реальных целей.

«Мы считаем, что эти атаки и их нацеленность на ИТ-компании и компании связи призваны облегчить атаки цепочки поставок на их клиентов. По нашей оценке, основная цель группы – вести шпионаж и использовать зараженную сеть для получения доступа к сетям своих клиентов. Как и в случае с другими группами, вполне возможно, что шпионаж и сбор разведданных являются первыми шагами к выполнению атак олицетворения, нацеленных на программы-вымогатели или вредоносные программы-шпионы »- ClearSky

Исследователи обнаружили два веб-сайта, которые являются частью инфраструктуры Siamesekitten для кампаний кибершпионажа, нацеленных на компании в Израиле.

Один имитирует сайт немецкой компании Software AG, производящей программное обеспечение для предприятий, а другой – сайт ChipPc. В обоих случаях потенциальную жертву просят загрузить файл Excel (XLS), который якобы содержит подробную информацию о предложении о работе или формате резюме.

Эти два файла содержат защищенный паролем вредоносный макрос, который запускает цепочку заражения, извлекая бэкдор под названием MsNpENg.

ClearSky отмечает, что между двумя наблюдаемыми ими кампаниями (с мая по июль) Siamesekitten перешла со старой версии бэкдора, написанной на C ++, и названной Milan, на более новую версию под названием Shark, написанную на .NET.

Сегодняшний отчет [ PDF ] содержит технические детали для обоих вариантов, а также IP-адреса инфраструктуры злоумышленника, адреса электронной почты, используемые для регистрации серверов, и хэши для вредоносных файлов.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here