Peretas Iran Menargetkan Beberapa Organisasi Israel Dengan Serangan Rantai Pasokan

  • Whatsapp
Peretas Iran

Perusahaan IT dan komunikasi di Israel berada di pusat kampanye serangan rantai pasokan yang dipelopori oleh aktor ancaman Iran yang melibatkan peniruan identitas perusahaan dan personel SDM mereka untuk menargetkan korban dengan tawaran pekerjaan palsu dalam upaya untuk menembus komputer mereka dan mendapatkan akses ke klien perusahaan.

Serangan, yang terjadi dalam dua gelombang pada Mei dan Juli 2021, telah dikaitkan dengan kelompok peretas bernama Siamesekitten (alias Lyceum atau Hexane) yang terutama memilih penyedia minyak, gas, dan telekomunikasi di Timur Tengah dan setidaknya di Afrika. sejak 2018, peneliti dari ClearSky dikatakan dalam laporan yang diterbitkan Selasa.

Bacaan Lainnya

Tim Stack Overflow

Infeksi yang dilakukan oleh musuh dimulai dengan mengidentifikasi calon korban, yang kemudian dibujuk dengan tawaran pekerjaan “memikat” di perusahaan terkenal seperti ChipPc dan Software AG dengan menyamar sebagai karyawan departemen sumber daya manusia dari perusahaan yang menyamar, hanya untuk mengarahkan korban ke situs web phishing yang berisi file senjata yang membongkar pintu belakang yang dikenal sebagai Milan untuk membuat koneksi dengan server jarak jauh dan mengunduh trojan akses jarak jauh tahap kedua bernama DanBot.

ClearSky berteori bahwa fokus serangan pada TI dan perusahaan komunikasi menunjukkan bahwa mereka dimaksudkan untuk memfasilitasi serangan rantai pasokan pada klien mereka.

Mencegah Serangan Ransomware

Selain menggunakan dokumen iming-iming sebagai vektor serangan awal, infrastruktur grup termasuk menyiapkan situs web palsu untuk meniru perusahaan yang sedang ditiru serta membuat profil palsu di LinkedIn. File iming-iming, pada bagian mereka, mengambil bentuk spreadsheet Excel tertanam makro yang merinci tawaran pekerjaan yang seharusnya dan file executable (PE) portabel yang mencakup ‘katalog’ produk yang digunakan oleh organisasi yang menyamar.

Terlepas dari file yang diunduh oleh korban, rantai serangan memuncak pada pemasangan pintu belakang Milan berbasis C++. Serangan Juli 2021 terhadap perusahaan Israel juga terkenal karena aktor ancaman menggantikan Milan dengan implan baru bernama Shark yang ditulis dalam .NET.

“Kampanye ini mirip dengan kampanye ‘pencari kerja’ Korea Utara, menggunakan apa yang telah menjadi vektor serangan yang banyak digunakan dalam beberapa tahun terakhir – peniruan identitas,” kata perusahaan keamanan siber Israel. “Tujuan utama kelompok ini adalah untuk melakukan spionase dan memanfaatkan jaringan yang terinfeksi untuk mendapatkan akses ke jaringan klien mereka. Seperti halnya kelompok lain, ada kemungkinan spionase dan pengumpulan intelijen adalah langkah pertama untuk melakukan serangan peniruan identitas yang menargetkan ransomware atau penghapus malware. “

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *