复仇女神来袭：以色列学术界的供应链攻击

伊朗黑客组织 Lord Nemesis（也称为“Nemesis Kitten”）于 2023 年底出现在网络领域，此前曾宣布打算针对以色列组织。这个伊朗资助的黑客组织的目标之一是向受害者灌输恐惧。从描绘一个看似恶意的黑暗领主的戏剧性网站，到他们的行动方式，包括默默地进行黑客攻击、下载数据并慢慢地将调查结果发布到全球网络，同时向受害者发送有关未来行动的警告信息。尽管在技术方面是任何组织都关心的问题，但他们造成的损害可以通过了解恐慌是他们目标的一部分并减少对其活动的反应来减少。

从他们的戏剧性网站（以一个外表险恶的黑暗领主为特色）到他们的作案手法（包括悄悄渗透网络、窃取数据并逐渐将他们的发现发布到全球网络），该组织的行动经过精心计算，旨在最大限度地对其受众产生心理影响。受害者。通过发送有关未来行动的不祥警告信息，复仇女神旨在在目标中营造一种不确定和焦虑的氛围。

图 1：LordNemesis 网站上的图片

该组织首次取得重大成功是在 2023 年 11 月下旬，当时他们声称对入侵以色列领先的学术管理和培训管理软件解决方案提供商 Rashim Software 负责。据称，Lord Nemesis 使用从 Rashim 泄露事件中获得的凭据渗透到该公司的多个客户，包括众多学术机构。

图 2：Rashim 客户

Rashim Software Ltd. 是以色列市场的知名企业，为大学和学院提供广泛的软件解决方案。他们的主要产品之一是名为 Michlol 的学生 CRM，该产品被全国各地的学术机构广泛使用。

据 Lord Nemesis 称，他们成功获得了对 Rashim 基础设施的完全访问权限，并利用此访问权限向 Rashim 的 200 多名客户和同事发送了电子邮件。该组织声称在此次泄露期间获得了敏感信息，他们可能会利用这些信息进行进一步的攻击或向受影响的组织施加压力。

图3：删除前的Rashim数据库列表

Lord Nemesis 将攻击范围扩展到 Rashim 之外的关键因素之一是该公司在其某些客户系统上维护管理员用户帐户的做法。通过劫持此管理员帐户，攻击者能够使用依赖于 Michlol CRM 的 VPN 访问众多组织，这可能会损害这些机构的安全并使其数据面临风险。

在某些情况下，Rashim 实施的多重身份验证 (MFA) 被证明不足以防御恶意行为者。攻击者通过破坏 Rashim 的 Office365 基础设施（该基础设施作为基于电子邮件的身份验证的基础）成功规避了 MFA。

为了向受害者灌输恐惧并展示他的访问范围，“复仇女神”于 3 月 4 日通过 Rashim 的电子邮件系统联系了 Rashim 的用户和同事名单。这次通信发生在 Rashim 基础设施首次遭到破坏的四个月后，突显了攻击者在系统中的长期存在。

图 4.LordNemesis 向 Rashim 的客户和同事发送的消息。

Lord Nemesis 在一篇在线帖子中准确描述了这次攻击，这对于黑客活动组织来说是一个不寻常的举动。这表明他们的直接参与和公开归因的愿望，使该事件与网络犯罪分子通常实施的出于经济动机的攻击区分开来。

事件发生后，我们的事件响应团队被要求协助受害者之一（一家以色列学术机构）。初步调查证实，Lord Nemesis 特工成功劫持了 Rashim Software Ltd. 的管理员帐户，该帐户拥有访问该学院学生 CRM 系统的特权。利用这些提升的凭据，攻击者在正常工作时间之外连接到该研究所的 VPN 并发起数据泄露。

对日志的彻底检查表明，攻击者专门针对关键服务器和数据库，特别关注包含敏感学生信息的 SQL 服务器。尽管没有发现数据盗窃确凿的证据，但我们的事件响应团队评估，在攻击期间，学生个人数据被提取的可能性很高。

攻击凸显第三方风险

该事件凸显了第三方供应商和合作伙伴带来的重大风险（供应链攻击）。通过成功入侵 Rashim 的管理帐户，Lord Nemesis 组织有效地规避了众多组织实施的安全措施，授予自己更高的权限并不受限制地访问敏感系统和数据。

我们对此次攻击的调查显示，犯罪者可能事先了解并熟悉 Rashim 的基础设施及其客户的 IT 环境。这使得攻击者能够通过最少的探测或枚举来快速识别和破坏关键系统，这表明攻击者的复杂程度和计划程度超出了典型的机会主义攻击。

复仇女神从 Rashim 服务器删除数据库的视频。

加强对黑客活动分子的防御

复仇女神发起的攻击表明，他们可能已经提前破坏了拉希姆的系统，利用中间时间进行侦察和计划。这一理论得到了攻击期间缺乏广泛扫描或探测活动的支持，因为该组织似乎对其目标有清楚的了解，并且在雷达作用下工作时，一旦他们访问了受害者的基础设施，就不会触发任何警报作为合法用户。

民族国家黑客与资源有限的公司

这次攻击突显了民族国家行为者日益增长的威胁，他们以规模较小、资源有限的公司为目标，以此作为推进其地缘政治议程的手段。在这种情况下，众所周知的网络恐怖主义赞助者伊朗将目光投向了以色列组织，寻求扰乱运营、窃取敏感数据并在网络领域散布恐惧。攻击者甚至泄露了拉希姆首席执行官的个人视频和图像，表明他们愿意使用任何必要的手段来恐吓和骚扰他们的目标。

图 5. LordNemesis 发布的 Rashim CEO 私人视频快照

这一事件是大卫与歌利亚场景的一个明显例子，像拉希姆这样的小公司发现自己与一个民族国家的巨大资源和能力竞争。这次攻击极不可能是由一个人策划的；相反，它具有一个组织良好的团体在大力支持和支持下协调努力的特点。

与出于经济动机的网络犯罪分子不同，在这种情况下，攻击者并不是受到金钱利益的驱动。相反，他们的行动符合恐怖袭击的目标，旨在破坏目标组织乃至更广泛的以色列社会的安全感和稳定感。 

面对如此严峻的形势，对于像 Rashim 这样的公司及其客户来说，在处理网络攻击的后果时获得专家的帮助至关重要。OP Innovate 等公司在这方面发挥着至关重要的作用，提供调查、控制和补救事件所需的知识、经验和资源。通过迅速而果断的行动，OP Innovate 能够发现受损的程度，评估潜在的影响，并引导受影响的组织（学术机构）走上恢复之路。

复仇女神揭示 SQL 密码的视频。

这次攻击的影响远远超出了我们事件响应团队参与的以色列学术机构的范围。第三方供应商的单个管理员帐户被盗可能会导致多个组织遭到破坏，这一事实凸显了迫切需要更强大的供应商风险管理实践和加强对第三方访问权限的审查。

组织必须认识到，其安全状况的强度取决于其供应链中最薄弱的环节。应优先考虑对供应商进行彻底的尽职调查、实施严格的访问控制、多因素身份验证（针对移动设备）、及时访问以及持续监控第三方活动，以降低源自可信合作伙伴的级联违规风险。

此外，这次攻击表明了威胁形势不断变化的性质，像Lord Nemesis这样的黑客活动组织越来越多地以意识形态和政治目的为目标。因此，组织必须在网络安全工作中保持警惕和积极主动，及时了解新出现的威胁并实施自适应安全措施来保护其资产和数据。

为了应对此次攻击，OP Innovate 为我们的许多客户提供了一系列建议，以加强他们的网络防御并减少第三方攻击面。关键措施包括跨端点部署 EDR、实施 MFA、限制供应商访问权限、升级遗留系统、映射所有外部资产 (ASM) 以及定期进行内部基础设施和外部渗透测试。

虽然像“复仇女神”这样的黑客组织的独特动机可能会使威慑变得具有挑战性，但改善研究所的整体安全态势有助于最大限度地减少损失，并在未来发生事件时加快恢复速度。随着地缘政治紧张局势持续加剧，组织必须对试图通过破坏性网络攻击推进其事业的黑客活动分子保持警惕。

攻击者针对 FW 块的 IOC：

45.150.108.242

195.20.17.128

195.20.17.171

时间线分析 

• 23 年 11 月 30 日 – 攻击者获得了对 Rashim 首席执行官 (Ron Hary) 的访问权限 

• 23 年 4 月 12 日 – 攻击者发送了描述攻击者使用 Ron 的用户访问电子邮件和会议（在团队中）的视频 

• 2024 年 1 月 13 日 – 第一学术机构发现使用 Rashim VPN 凭证进行恶意访问。使用 Rashim 电子邮件的访问权限绕过 MFA

• 2024 年 2 月 13 日 – 第二个学术机构发现使用 Rashim VPN 凭证进行恶意访问

• 23/02/24 – 第三个学术机构发现使用 Rashim VPN 凭证进行恶意访问

• 03/03/24 – Lord Nemesis 在 Rashim 网络上发布他的行为，证明他删除了 SQL DB

• 24/04/03 – Lord nemesis 通过 Rashim 域用户联系所有 Rashim 客户，并对未来的活动发出“警告”。

• 24/04/03 – Lord Nemesis 以学术机构为目标，并泄露了据称从其数据库中泄露的敏感信息