一個(gè)疑是與伊朗政府關(guān)聯(lián)的網(wǎng)絡(luò)間諜組織一直在試圖利用供應(yīng)鏈工具和大型基礎(chǔ)設(shè)施來(lái)攻擊以色列IT公司，這些工具和設(shè)施使他們能夠冒充人力資源人員，以吸引 IT 專家并侵入他們的電腦，獲取他們公司的數(shù)據(jù)。

　　至少?gòu)?2018 年起，該組織一直在中東和非洲開(kāi)展網(wǎng)絡(luò)間諜活動(dòng)。在安全公司 Clear sky 研究人員今年 5 月和 7 月檢測(cè)到的多起攻擊中，可以看到 Siamese kitten（暹羅貓）將社會(huì)工程技術(shù)與名為“ Shark ”的更新后門相結(jié)合，這是一個(gè)取代了另外一個(gè)更老惡意軟件“ Milan ”的變種。

　　在最新分析報(bào)告中，Clearsky 的研究人員詳細(xì)描述了暹羅貓的攻擊戰(zhàn)術(shù)序列，主要包括以下階段：

　　標(biāo)識(shí)定潛在的受害者（員工）。

　　標(biāo)識(shí)定可能被冒充的人力資源部員工。

　　建立冒充目標(biāo)組織的釣魚(yú)網(wǎng)站。

　　創(chuàng)建與模仿的組織兼容的引誘文件。

　　在 LinkedIn 上建立一個(gè)虛假的個(gè)人賬戶，冒充上述人力資源部員工。

　　用一份“誘人”的工作邀請(qǐng)聯(lián)系潛在的受害者，詳細(xì)說(shuō)明在假冒的組織中的職位。

　　發(fā)送帶有誘餌文件將受害者引誘到釣魚(yú)網(wǎng)站。

　　米蘭后門惡意軟件感染計(jì)算機(jī)或服務(wù)器后，一個(gè)或多個(gè)惡意文件被下載。因此，在被感染的計(jì)算機(jī)和 C & C 服務(wù)器之間使用 DNS 和 HTTPS 建立連接。

　　Dan Bot RAT 被下載到被感染的系統(tǒng)并加載。

　　通過(guò)被感染的機(jī)器，該組織收集數(shù)據(jù)，進(jìn)行間諜活動(dòng)，并試圖在網(wǎng)絡(luò)內(nèi)移動(dòng)傳播。

　　這一行動(dòng)類似于朝鮮的“求職者”行動(dòng)，使用了近年來(lái)廣泛使用的攻擊手段——冒充。許多攻擊組織正在執(zhí)行這種類型的網(wǎng)絡(luò)行動(dòng)，如在 2020 年夏天曝光的朝鮮拉撒路行動(dòng)（ Dream Job ）和伊朗石油鉆井行動(dòng)（ APT 34 ），該行動(dòng)在 2021 年第一季度針對(duì)中東受害者，“研究人員表示。

　　（制作的虛假的求職網(wǎng)站）

　　黑客假冒一家知名公司的虛假工作邀請(qǐng)，引誘潛在受害者。受害者被介紹到攻擊者控制的網(wǎng)站，該網(wǎng)站提供以色列、法國(guó)和英國(guó)的工作信息。為了向受害者的機(jī)器提供一個(gè)后門，攻擊者使用兩個(gè)誘餌文件——一個(gè)使用惡意宏卸載后門的 Excel 文件和一個(gè)將相同的后門卸載到機(jī)器上的可執(zhí)行文件。

　　攻擊者隨后在受害的計(jì)算機(jī)與命令和控制服務(wù)器之間建立連接，然后將進(jìn)一步的遠(yuǎn)程控制工具 RAT 下載到設(shè)備上。

　　在”暹羅貓“活動(dòng)中，工具和技術(shù)分為三類：

　　1. 社會(huì)工程技術(shù)——Siamesekitten使用社會(huì)工程技術(shù)來(lái)引誘潛在的受害者下載惡意文件：

　　a.暹羅貓?jiān)谏缃痪W(wǎng)絡(luò)（主要是LinkedIn）上創(chuàng)建虛假個(gè)人資料。

　　b.暹羅貓創(chuàng)建了釣魚(yú)網(wǎng)站，冒充提供誘人工作的公司。

　　2. 誘餌文件——Siamesekitten使用了兩種類型的誘餌文件來(lái)做同樣的事情——將惡意軟件下載到機(jī)器上：

　　a. Excel文件，包括出現(xiàn)在假冒網(wǎng)站上的各種工作邀請(qǐng)的詳細(xì)信息。這個(gè)excel表格中嵌入了一個(gè)受口令保護(hù)的惡意軟件，旨在將惡意軟件下載到受害者的電腦上。

　　b.便攜式可執(zhí)行文件（PE），據(jù)稱包括假冒組織使用的產(chǎn)品”目錄“。執(zhí)行該文件后，惡意軟件將被下載到機(jī)器上。

　　3.攻擊文件和與C&C服務(wù)器的通信方式

　　a.暹羅貓使用了一個(gè)后門，在受害者打開(kāi)其中一個(gè)誘餌文件后，后門被加載到了機(jī)器上。隨后，DanBot RAT被下載到機(jī)器中，接著是該團(tuán)隊(duì)的新”鯊魚(yú)“后門。

　　b.通過(guò)DNS查詢使C&C服務(wù)器和受感染機(jī)器之間進(jìn)行通信的惡意后門MILAN。

　　c.通過(guò)DNS隧道通信——通過(guò)DNS查詢與不同的C&C服務(wù)器通信。我們發(fā)現(xiàn)C&C服務(wù)器地址被硬編碼到文件里了。

　　d. RAT文件- DanBot RAT，被小組使用了好幾年。

　　雖然 APT 似乎已經(jīng)將攻擊目標(biāo)轉(zhuǎn)向中東和非洲的組織，但研究人員認(rèn)為，他們對(duì)以色列 IT 和通信公司的關(guān)注只是通過(guò)供應(yīng)鏈攻擊損害客戶利益的一種方式。

　　”根據(jù)我們的評(píng)估，該組織的主要目標(biāo)是進(jìn)行間諜活動(dòng)，并利用被感染的網(wǎng)絡(luò)獲取其客戶的網(wǎng)絡(luò)。和其他組織一樣，間諜活動(dòng)和情報(bào)收集可能是實(shí)施針對(duì)勒索軟件或惡意軟件的模擬攻擊的第一步，“克利爾斯基補(bǔ)充說(shuō)。