Wireless Attacks

[Wireless Attacks][bsummary]

WHATSAPP

[WHATSAPP][twocolumns]

SISTEMA OPERACIONAL

[SISTEMA OPERACIONAL][bleft]

CURSOS

[CURSOS][grids]

Hackers iranianos visam várias organizações israelenses em ataque Hacker

Hackers iranianos


Empresas de TI e comunicação em Israel estiveram no centro de uma campanha de ataque à cadeia de abastecimento liderada por um ator de ameaça iraniano que envolvia falsificar a identidade das empresas e de seu pessoal de RH para atingir vítimas com ofertas de emprego falsas na tentativa de penetrar em seus computadores e obter acesso ao clientes da empresa.

Os ataques, que ocorreram em duas ondas em maio e julho de 2021, foram vinculados a um grupo de hackers chamado Siamesekitten (também conhecido como Lyceum ou Hexane), que destacou principalmente fornecedores de petróleo, gás e telecomunicações no Oriente Médio e, pelo menos, na África desde 2018, pesquisadores da ClearSky disseram em um relatório publicado na terça-feira.

As infecções empreendidas pelo adversário começaram com a identificação de vítimas potenciais, que foram então atraídas por ofertas de emprego "atraentes" em empresas conhecidas como ChipPc e Software AG, passando-se por funcionários do departamento de recursos humanos das empresas falsificadas, apenas para levar as vítimas a um Site de phishing contendo arquivos armados que descarregam um backdoor conhecido como Milan para estabelecer conexões com um servidor remoto e baixar um trojan de acesso remoto de segundo estágio chamado DanBot.




ClearSky teorizou que o foco dos ataques em empresas de TI e comunicação sugere que eles têm como objetivo facilitar os ataques à cadeia de suprimentos em seus clientes.

Além de empregar documentos de isca como vetor inicial de ataque, a infraestrutura do grupo incluía a criação de sites fraudulentos para imitar a identidade da empresa, bem como a criação de perfis falsos no LinkedIn. Os arquivos de isca, por sua vez, assumem a forma de uma planilha Excel embutida em macro que detalha as supostas ofertas de trabalho e um arquivo executável portátil (PE) que inclui um 'catálogo' de produtos usados ​​pela organização personificada.



Independentemente do arquivo baixado pela vítima, a cadeia de ataque culmina na instalação do backdoor Milan baseado em C ++. Os ataques de julho de 2021 contra empresas israelenses também são notáveis ​​pelo fato de que o ator da ameaça substituiu Milan por um novo implante chamado Shark, escrito em .NET.

"Esta campanha é semelhante à campanha norte-coreana de 'candidatos a emprego', empregando o que se tornou um vetor de ataque amplamente usado nos últimos anos - a falsificação de identidade", disse a empresa israelense de segurança cibernética. “O principal objetivo do grupo é realizar espionagem e utilizar a rede infectada para obter acesso às redes de seus clientes. Como ocorre com outros grupos, é possível que a espionagem e a coleta de informações sejam os primeiros passos para a execução de ataques de falsificação de identidade direcionados a ransomware ou malware wiper. "


Nenhum comentário :