Perusahaan IT dan komunikasi di Israel berada di pusat kampanye serangan rantai pasokan yang dipelopori oleh aktor ancaman Iran yang melibatkan peniruan identitas perusahaan dan personel SDM mereka untuk menargetkan korban dengan tawaran pekerjaan palsu dalam upaya untuk menembus komputer mereka dan mendapatkan akses ke klien perusahaan.
Serangan, yang terjadi dalam dua gelombang pada Mei dan Juli 2021, telah dikaitkan dengan kelompok Hacker bernama Siamesekitten (alias Lyceum atau Hexane) yang terutama memilih penyedia minyak, gas, dan telekomunikasi di Timur Tengah dan setidaknya di Afrika. sejak 2018, para peneliti dari ClearSky mengatakan dalam sebuah laporan yang diterbitkan Selasa.
Infeksi yang dilakukan oleh musuh dimulai dengan mengidentifikasi calon korban, yang kemudian dibujuk dengan tawaran pekerjaan "memikat" di perusahaan terkenal seperti ChipPc dan Software AG dengan menyamar sebagai karyawan departemen sumber daya manusia dari perusahaan yang menyamar, hanya untuk mengarahkan korban ke situs web phishing yang berisi file senjata yang membongkar pintu belakang yang dikenal sebagai Milan untuk membuat koneksi dengan server jarak jauh dan mengunduh trojan akses jarak jauh tahap kedua bernama DanBot.
 |
ClearSky berteori bahwa fokus serangan pada TI dan perusahaan komunikasi menunjukkan bahwa mereka dimaksudkan untuk memfasilitasi serangan rantai pasokan pada klien mereka.
Selain menggunakan dokumen iming-iming sebagai vektor serangan awal, infrastruktur grup termasuk menyiapkan situs web palsu untuk meniru perusahaan yang ditiru serta membuat profil palsu di LinkedIn. File iming-iming, pada bagian mereka, mengambil bentuk spreadsheet Excel tertanam makro yang merinci tawaran pekerjaan yang seharusnya dan file executable (PE) portabel yang mencakup 'katalog' produk yang digunakan oleh organisasi yang menyamar.
Terlepas dari file yang diunduh oleh korban, rantai serangan memuncak pada pemasangan pintu belakang Milan berbasis C++. Serangan Juli 2021 terhadap perusahaan Israel juga terkenal karena aktor ancaman menggantikan Milan dengan implan baru bernama Shark yang ditulis dalam .NET.
"Kampanye ini mirip dengan kampanye 'pencari kerja' Korea Utara, menggunakan apa yang telah menjadi vektor serangan yang banyak digunakan dalam beberapa tahun terakhir - peniruan identitas," kata perusahaan keamanan siber Israel. "Tujuan utama grup ini adalah untuk melakukan spionase dan memanfaatkan jaringan yang terinfeksi untuk mendapatkan akses ke jaringan klien mereka. Seperti halnya grup lain, ada kemungkinan spionase dan pengumpulan intelijen adalah langkah pertama untuk melakukan serangan peniruan identitas yang menargetkan ransomware atau penghapus malware. "
Sumber: The Hacker News
0komentar:
Post a Comment