伊朗 APT 组织Siamesekitten针对以色列公司发起网络间谍活动

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

安全研究人员发现，伊朗黑客发起了一项新的网络间谍活动，他们利用供应链攻击以色列的 IT 和电信公司。这个伊朗 APT 组织被追踪为 Siamesekitten（也称为 Lyceum 或 Hexane），他们假扮人力资源人员，用虚假的工作机会引诱不知情的用户。

根据网络安全公司 ClearSky 的研究，威胁行为者专门针对 IT 专业人员，窃取他们的凭证，然后利用这些凭证侵入公司的网络系统。研究人员发现，攻击者正在将受害者转移到托管在冒充服务器上的虚假网站。该网站提供了两个网络钓鱼文件 - 一个部署恶意宏的 Excel 文件和一个将后门传送到目标设备上的可执行文件。下载的恶意软件随后会连接受感染的机器和黑客操作的 C&C 服务器，最终部署 RAT。

旧组织 新恶意软件

自 2018 年以来，Siamesekitten 组织主要针对非洲和中东国家的石油、天然气和电信行业的组织。ClearSky 表示，它在 2021 年 5 月和 7 月检测到了两次 Siamesekitten 攻击，攻击使用了新的恶意软件变种Shark。

Siamesekitten 攻击序列

ClearSky 研究人员还详细介绍了 Siamesekitten 组织如何发起攻击。其中包括：

将受害者引导至冒充目标组织的钓鱼网站。

创建与冒充组织兼容的诱饵文件。

在 LinkedIn 上建立虚假个人资料，冒充所提及的人力资源部门员工。

向潜在受害者提供诱人的工作机会，详细说明在冒充的组织中的职位

DanBot RAT 被下载到受感染的系统中。

该组织通过受感染的机器收集数据，进行间谍活动，并试图在网络内传播。

ClearSky 表示：“此次活动与朝鲜的‘求职者’活动类似，采用了近年来广泛使用的攻击媒介——冒充。该组织的主要目标是进行间谍活动，并利用受感染的网络访问其客户的网络。与其他组织一样，间谍活动和情报收集可能是针对勒索软件或清除恶意软件的冒充攻击的第一步。 ”

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：伊朗 APT 组织Siamesekitten针对以色列公司发起网络间谍活动