Irańscy hakerzy atakują izraelskie organizacje. Celują w dostawców podstawowych usług

Grupa hakerska Siamesekitten (zwana także Lyceum lub Hexane) to irańska grupa APT działająca na Bliskim Wschodzie i w Afryce. Specjaliści z ClearSky odkryli, że ich ataki miały miejsce w maju i lipcu bieżącego roku. 

Irańscy cyberprzestępcy, w ramach swoich ataków na izraelskie firmy, podszywali się pod pracowników danego przedsiębiorstwa lub dział HR z innych korporacji. Potencjalne ofiary były kuszone fałszywymi ofertami pracy w dużych, znanych firmach. Oszuści podający się za rekruterów podsyłali, między innymi, arkusze kalkulacyjne w których znajdowały się oferty pracy ze szczegółowymi informacjami.

Zainteresowani pracownicy wchodzili na podsyłane im strony phishingowe podane w pliku z ofertami. Na spreparowanych przez hakerów witrynach znajdował się ukryty plik uruchamiający backdoor Milan. Kolejnym etapem ataku było pobranie trojana zdalnego dostępu o nazwie DanBot, co było możliwe dzięki wcześniejszemu backdoorowi.

Widać więc, że grupa Siamesekitten włożyła sporo pracy w swoje ataki. Poza tworzeniem fałszywych stron oraz kampaniami skierowanymi do potencjalnych ofiar, hakerzy tworzyli także profile w serwisie LinkedIn. Ten zaś mógł im posłużyć do dalszego zbudowania bazy potencjalnych ofiar, jak i uwiarygodnienia swoich zamiarów.

Zdaniem ClearSky, tego rodzaju kampanie prowadzone przez Siamesekitten są typowymi działaniami szpiegowskimi. Podobnie jak w przypadku innych grup, możliwe jest, że zbieranie informacji wywiadowczych jest pierwszym krokiem w kierunku przeprowadzania ataków polegających na podszywaniu się pod konkretne osoby.

Specjaliści stwierdzili również, że ataki, w swoim sposobie przeprowadzenia, są podobne do innej kampanii. Ich zdaniem północnokoreańska akcja North Star, wymierzona wówczas w przemysł obronny, została przeprowadzona w bardzo podobny sposób.