Hackers iranianos visam várias organizações israelenses com ataques à cadeia de suprimentos
Empresas de TI e comunicação em Israel estiveram no centro de uma campanha de ataque à cadeia de abastecimento liderada por um ator de ameaça iraniano que envolvia falsificar a identidade das empresas e de seu pessoal de RH para atingir vítimas com ofertas de emprego falsas na tentativa de penetrar em seus computadores e obter acesso ao clientes da empresa.
Os ataques, que ocorreram em duas ondas em maio e julho de 2021, foram vinculados a um grupo de hackers chamado Siamesekitten (também conhecido como Lyceum ou Hexane), que destacou principalmente fornecedores de petróleo, gás e telecomunicações no Oriente Médio e, pelo menos, na África desde 2018, pesquisadores da ClearSky disseram em um relatório publicado na terça-feira.
As infecções empreendidas pelo adversário começaram com a identificação de vítimas potenciais, que foram então atraídas por ofertas de emprego “atraentes” em empresas conhecidas como ChipPc e Software AG, passando-se por funcionários do departamento de recursos humanos das empresas falsificadas, apenas para levar as vítimas a um Site de phishing contendo arquivos armados que descarregam um backdoor conhecido como Milan para estabelecer conexões com um servidor remoto e baixar um trojan de acesso remoto de segundo estágio chamado DanBot.
ClearSky teorizou que o foco dos ataques em empresas de TI e comunicação sugere que eles têm como objetivo facilitar os ataques à cadeia de suprimentos em seus clientes.
Além de empregar documentos de isca como vetor inicial de ataque, a infraestrutura do grupo incluía a criação de sites fraudulentos para imitar a identidade da empresa, bem como a criação de perfis falsos no LinkedIn. Os arquivos de isca, por sua vez, assumem a forma de uma planilha Excel embutida em macro que detalha as supostas ofertas de trabalho e um arquivo executável portátil (PE) que inclui um ‘catálogo’ de produtos usados pela organização personificada.
Independentemente do arquivo baixado pela vítima, a cadeia de ataque culmina na instalação do backdoor Milan baseado em C ++. Os ataques de julho de 2021 contra empresas israelenses também são notáveis pelo fato de que o ator da ameaça substituiu Milan por um novo implante chamado Shark, escrito em .NET.
VEJA TAMBEM: Pesquisador faz engenharia reversa no algoritmo de detecção de pedofilia da Apple, iOS14.3 já usa em segredo.
“Esta campanha é semelhante à campanha norte-coreana de ‘candidatos a emprego’, empregando o que se tornou um vetor de ataque amplamente usado nos últimos anos – a falsificação de identidade”, disse a empresa israelense de segurança cibernética. “O principal objetivo do grupo é realizar espionagem e utilizar a rede infectada para obter acesso às redes de seus clientes. Como ocorre com outros grupos, é possível que a espionagem e a coleta de informações sejam os primeiros passos para a execução de ataques de falsificação de identidade direcionados a ransomware ou malware wiper. “
Fonte: https://thehackernews.com/
