ClearSky 的分析工作员表明,最近发觉名叫 Siamesekitten(别名 Lyceum 或 Hexane)的黑客组织在 2021 年 5 月和 7 月对于非洲的 IT 和通信公司进行了供应链管理攻击。
攻击流程剖析
全部攻击流程大致如下所示所显示:
(1) 攻击者对于不确定性的受害人,根据伪装成特定企业的人力资源专员(HR),以 ChipPc 和 Software AG 公司的“诱惑”的工作中机遇为鱼饵。
攻击者仿冒了2个网址,一个效仿德国企业软件开发公司Software AG的网址,另一个效仿ChipPc的网址。Software AG 和 ChipPc 全是软件公司。因而ClearSky 推断,Siamesekitten 攻击关键对于 IT 和通信公司,并尝试应用供应链管理攻击毁坏非洲公司。
(2) 攻击者在领英上设定虚报个人信息,详细描述岗位信息内容,正确引导受害人浏览诈骗网站,引诱客户免费下载鱼饵文档。
除开应用鱼饵文档做为原始攻击空间向量及其搭建诈骗网址以外,该攻击机构仍在 LinkedIn 上建立虚报个人信息。
(3) 客户实行后免费下载名叫 Milan 的侧门,根据 DNS 和 HTTPS 联接到 C&C 网络服务器渗入进到企业。拉起名叫 DanBot 的远控木马病毒,盗取数据信息并横着移动。
鱼饵文档在 Excel 文件中插进宏代码,文档中叙述了虚报的工作中机遇和机构应用的商品目录,还会继续释放出来 PE 文档。
先前攻击链走到最后都是会是 C 撰写的 Milan 侧门,2021 年 7 月对于非洲的集团公司的攻击应用 .NET 撰写的 Shark 替代了 Milan。
如下所示所显示,与 C&C 网络服务器通讯。
非洲安全性企业 ClearSky 表明:
- “该安排的攻击行为与中国朝鲜的黑客组织相近,也常常应用掩藏术。
- “该安排的具体目的是开展情报活动,并运用失陷服务器对方向企业的别的互联网开展攻击。”
Siamesekitten机构
Siamesekitten(别名Lyceum、Hexane)是一个快速增长在中东地区和非洲国家的沙特 APT 机构,该组织最少从 2018 年逐渐就在大力开展情报活动。
Dragos 企业在上年公布的一份报告书中强调,该 APT 机构关键攻击中东国家的原油和天然气公司,在其中“科威特是具体的总体目标行为地域”。
该安排的关键攻击目标是新能源公司,但该机构也攻击坐落于大中东国家、中亚地区和非洲的电信网服务提供商。
除此之外,安全性企业Dragos和Secureworks表明该机构应用的对策,技术性和程序流程(TTPs)类似APT33和APT34,而后2个APT机构通常被指出与沙特相关。
IOC
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.comJobschippc.comdnsstatus.orgdefenderstatus.comdefenderlive.comwsuslink.comAkastatus.comZonestatistic.com23.95.218.24023.94.22.14523.95.9.100185.243.112.120185.243.112.120185.244.213.7398.117.103.3251.79.62.98198.23.239.140