Zespół ClearSky wykrył nowe zagrożenie atakami ze strony irańskich hakerów. Osoby działające w zespole Siamesekitten obrały sobie za cel izraelskich dostawców usług takich jak ropa, gaz czy usługi telekomunikacyjne.

bETRhUwR

Grupa hakerska Siamesekitten (zwana także Lyceum lub Hexane) to irańska grupa APT działająca na Bliskim Wschodzie i w Afryce. Specjaliści z ClearSky odkryli, że ich ataki miały miejsce w maju i lipcu bieżącego roku. 

Sposób ataku

Irańscy cyberprzestępcy, w ramach swoich ataków na izraelskie firmy, podszywali się pod pracowników danego przedsiębiorstwa lub dział HR z innych korporacji. Potencjalne ofiary były kuszone fałszywymi ofertami pracy w dużych, znanych firmach. Oszuści podający się za rekruterów podsyłali, między innymi, arkusze kalkulacyjne w których znajdowały się oferty pracy ze szczegółowymi informacjami.

Zainteresowani pracownicy wchodzili na podsyłane im strony phishingowe podane w pliku z ofertami. Na spreparowanych przez hakerów witrynach znajdował się ukryty plik uruchamiający backdoor Milan. Kolejnym etapem ataku było pobranie trojana zdalnego dostępu o nazwie DanBot, co było możliwe dzięki wcześniejszemu backdoorowi.

bETRhUwT

Widać więc, że grupa Siamesekitten włożyła sporo pracy w swoje ataki. Poza tworzeniem fałszywych stron oraz kampaniami skierowanymi do potencjalnych ofiar, hakerzy tworzyli także profile w serwisie LinkedIn. Ten zaś mógł im posłużyć do dalszego zbudowania bazy potencjalnych ofiar, jak i uwiarygodnienia swoich zamiarów.

Włamania na routery i kamery. Chodzi o 65 producentów sprzętu
Włamania na routery i kamery. Chodzi o 65 producentów sprzętu

Kampania szpiegowska

Zdaniem ClearSky, tego rodzaju kampanie prowadzone przez Siamesekitten są typowymi działaniami szpiegowskimi. Podobnie jak w przypadku innych grup, możliwe jest, że zbieranie informacji wywiadowczych jest pierwszym krokiem w kierunku przeprowadzania ataków polegających na podszywaniu się pod konkretne osoby.

Specjaliści stwierdzili również, że ataki, w swoim sposobie przeprowadzenia, są podobne do innej kampanii. Ich zdaniem północnokoreańska akcja North Star, wymierzona wówczas w przemysł obronny, została przeprowadzona w bardzo podobny sposób.

Programy

Aktualizacje
Aktualizacje
Nowości
Komentarze (12)
bETRhUxP