ClearSky 的研究人員表示，近期發(fā)現(xiàn)名為 Siamesekitten(又名 Lyceum 或 Hexane)的黑客組織在 2021 年 5 月和 7 月針對(duì)以色列的 IT 和通信公司發(fā)起了供應(yīng)鏈攻擊。

[[418522]]

攻擊流程分析

整個(gè)攻擊流程大體如下所示：

(1) 攻擊者針對(duì)潛在的受害者，通過(guò)偽裝成指定公司的人力資源專員(HR)，以 ChipPc 和 Software AG 公司的“誘人”的工作機(jī)會(huì)為誘餌。

攻擊者偽造了兩個(gè)網(wǎng)站，一個(gè)模仿德國(guó)企業(yè)軟件公司Software AG的網(wǎng)站，另一個(gè)模仿ChipPc的網(wǎng)站。Software AG 和 ChipPc 都是軟件開(kāi)發(fā)公司。因此ClearSky 推測(cè)，Siamesekitten 攻擊主要針對(duì) IT 和通信公司，并試圖使用供應(yīng)鏈攻擊破壞以色列企業(yè)。

(2) 攻擊者在領(lǐng)英上設(shè)置虛假個(gè)人資料，詳細(xì)說(shuō)明職位信息，引導(dǎo)受害者訪問(wèn)釣魚(yú)網(wǎng)站，誘使用戶下載誘餌文件。

除了使用誘餌文件作為初始攻擊向量以及構(gòu)建欺詐網(wǎng)站之外，該攻擊組織還在 LinkedIn 上創(chuàng)建虛假個(gè)人資料。

(3) 用戶執(zhí)行后下載名為 Milan 的后門，通過(guò) DNS 和 HTTPS 連接到 C&C 服務(wù)器滲透進(jìn)入公司。拉取名為 DanBot 的遠(yuǎn)控木馬，竊取數(shù)據(jù)并橫向平移。

誘餌文件在 Excel 文件中插入宏代碼，文件中描述了虛假的工作機(jī)會(huì)和組織使用的產(chǎn)品目錄，還會(huì)釋放 PE 文件。

此前攻擊鏈走到最后都會(huì)是 C++ 編寫(xiě)的 Milan 后門，2021 年 7 月針對(duì)以色列的公司的攻擊使用 .NET 編寫(xiě)的 Shark 代替了 Milan。

如下所示，與 C&C 服務(wù)器通信。

以色列安全公司 ClearSky 表示：

• “該組織的攻擊行動(dòng)與朝鮮的黑客組織類似，也經(jīng)常使用偽裝術(shù)。
• “該組織的主要目標(biāo)是進(jìn)行間諜活動(dòng)，并利用失陷主機(jī)對(duì)目標(biāo)公司的其他網(wǎng)絡(luò)進(jìn)行攻擊。”

Siamesekitten組織

Siamesekitten(又名Lyceum、Hexane)是一個(gè)活躍在中東和非洲的伊朗 APT 組織，該組織至少?gòu)?2018 年開(kāi)始就在積極開(kāi)展間諜活動(dòng)。

Dragos 公司在去年發(fā)布的一份報(bào)告中指出，該 APT 組織主要攻擊中東地區(qū)的石油和天然氣公司，其中“科威特是主要的目標(biāo)行動(dòng)地區(qū)”。

該組織的主要攻擊對(duì)象是能源企業(yè)，但該組織也攻擊位于大中東地區(qū)、中亞地區(qū)和非洲地區(qū)的電信提供商。

此外，安全公司Dragos和Secureworks表示該組織使用的策略，技術(shù)和程序(TTPs)類似于APT33和APT34，而后兩個(gè)APT組織通常被認(rèn)為與伊朗有關(guān)。

IOC

a90ae3747764127decae5a0d7856ef95 
254e134490a0b74b3a66626fc0d62ff972cfc1a2 
08261ed40e21140eb438f16af0233217c701d9b022dce0a45b6e3e1ee2467739 
a5aecb5b2c495a4a9631fca9b36aaf44 
c2e48c8e697ec88bf8057a5c0f1dc3005773956c 
586b25053bd98c8f8e50ff01d35aaa438e10458a36c56e75f0e803d3e97a6012 
ce243f6a09daca21486b1f6f7a6fc403 
7a463341e5de49afef99bcfdc59e1cb69bd898f0 
5208cca3c4a8c42d590de4cfed4abfd37e99247bc06cba529dec55b836a55e74 
d30bcd249fc066e341997e2abc0878da 
022abfd7b63e3feac77bbada610d1de0931b68bb 
8a1aba0de3f00c04dbaa8ebb905f7398a2b532619a1b0f5a715e0ad04de0d06b 
fd3e147521114d6ebc8924ce6cd5e253 
3ce71f269f191dad1c9ed137a5f439788d10cd5a 
99a8d8bb87070458c0c007205418e7a209f0b97914045ff4121b4df4b54ce554 
e80c5a18c5a3a5cf2764535f8795bb81 
9e3c2030a4bc9b89727346bc447701bd43c841e4 
74c331cfacbe57f3c92a4bddce237253cab52755f2149625eff18e0ecdbcdda2 
e2919dea773eb0796e46e126dbce17b1 
94aa7417f388c61a2d63ddcba6efec80c55f8555 
b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249 
a4185f95c61076590ca2eb96e4697c73 
1b990280fd7f13143bddb1cfd69265650aecf49f 
89ab99f5721b691e5513f4192e7c96eb0981ddb6c2d2b94c1a32e2df896397b8 
49b002fc6729f346f8114770ea991510 
ee98f9fb8050d7232466da064637e8afc285f2c4 
f6ae4f4373510c4e096fab84383b547c8997ccf3673c00660df8a3dc9ed1f3ca 
3a3d600ad9c9615f18003620a1bf5f28 
7b3b3b8aa37ca78c46ec2774784cf51d190733e8 
44faf11719b3a679e7a6dd5db40033ec4dd6e1b0361c145b81586cb735a64112 
1d94961261c5da63ff5faa7616cec579 
41ad24e9ca3e36d9e55d574248482bf81e263c12 
2f2ef9e3f6db2146bd277d3c4e94c002ecaf7deaabafe6195fddabc81a8ee76c 
3e993dfe5ce90dadb0cf0707d260febd 
69d58a5ff2c0343119816d34ce9da8d9bc6f47c9 
21ab4357262993a042c28c1cdb52b2dab7195a6c30fa8be723631604dd330b29 
52c6326af893e3baa1c43c59827f61eb 
3b31bbfee1dd606e40e17759f79c12b423f2cf6f 
4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248 
e8d3aeea7617982bb6e484a9f8307e6b 
09bd833782a6b2cccdd3285ad12f23bedb1dbb77 
d3606e2e36db0a0cb1b8168423188ee66332cae24fe59d63f93f5f53ab7c3029 
softwareagjobs.com 
Jobschippc.com  
dnsstatus.org  
defenderstatus.com 
defenderlive.com 
wsuslink.com 
Akastatus.com 
Zonestatistic.com  
23.95.218.240  
23.94.22.145 
23.95.9.100 
185.243.112.120 
185.243.112.120 
185.244.213.73 
98.117.103.32 
51.79.62.98 
198.23.239.140