伊朗黑客袭击了几家以色列组织的供应链

以色列的IT和通信公司是一场供应链攻击行动的中心，该行动由一名伊朗威胁行为人牵头，该行动涉及冒充这些公司及其人力资源人员，以假工作机会瞄准受害者，试图渗透他们的计算机，并接触该公司的客户。

ClearSky在星期二发表的一份报告中称，5月和2021年7月发生的两起袭击事件与一个名为SimeSeeKeTeNT的黑客组织（Aka LycEm或己烷）有关。该组织主要在中东和非洲至少在2018年间挑出石油、天然气和电信供应商。

对手的感染始于识别潜在的受害者，然后通过假扮成人力资源部的员工在ChipPc和Software AG等知名公司提供“诱人”的工作机会来引诱他们，只是把受害者带到一个包含武器化文件的钓鱼网站，卸载一个名为Milan的后门，与远程服务器建立连接，并下载名为DanBot的第二阶段远程访问特洛伊木马。

ClearSky的理论是，这些攻击的重点是IT和通信公司，这表明它们旨在促进针对客户的供应链攻击。

除了使用诱饵文档作为初始攻击向量之外，该组织的基础设施还包括设置欺诈网站来模仿被模拟的公司以及在LinkedIn上创建虚假的配置文件。lure文件则采用宏嵌入Excel电子表格的形式，该电子表格详细说明了假想的工作机会，以及可移植可执行文件（PE）的形式，其中包括模拟组织使用的产品的“目录”。

不管受害者下载了什么文件，攻击链最终都会安装基于C++的米兰后门。2021年7月对以色列公司的攻击也很显著，因为威胁演员用一个新的被称为鲨鱼的植入物取代了米兰。网

“这场战役类似于朝鲜求职者的竞选活动，采用了近年来广泛使用的攻击向量——模仿。”以色列网络安全公司说。“该组织的主要目标是进行间谍活动，并利用受感染的网络访问其客户的网络。与其他组织一样，间谍活动和情报收集可能是执行针对勒索软件或恶意软件的模拟攻击的第一步。”