Иранские хакеры выдают себя за HR-менеджеров в атаках на израильские компании

Связанные с правительством Ирана хакеры атакуют израильские телекоммуникационные и IT-компании с целью подобраться ближе к интересующим их жертвам.

Речь идет о APT-группе, известной под названиями Lyceum, Hexane и Siamesekitten, которая проводит свои операции как минимум с 2018 года. В ходе серии атак в мае и июле 2021 года хакеры совмещали приемы социальной инженерии с использованием обновленного вредоносного ПО для удаленного доступа к зараженным системам.

Как сообщили специалисты из ClearSky, для заражения компьютеров потенциальных жертв вредоносным ПО хакеры предлагали им работу с подставных профилей. Сначала они находили подходящую кандидатуру на роль жертвы (сотрудника) и сотрудника отдела кадров, за которого можно было себя выдать. Затем злоумышленники создавали поддельный сайт, выдаваемый за легитимный сайт атакуемой организации, и заводили подставной профиль от имени сотрудника отдела кадров.

Далее жертва направлялась на поддельный сайт, содержащий вредоносный файл. Бэкдор в файле заражал ее компьютер и подключался к C&C-серверу через DNS и HTTPS, после чего на инфицированную систему загружался троян для удаленного доступа (RAT) DanBot. Хакеры собирали интересующие их данные и пытались продвинуться далее по сети.

По словам специалистов из ClearSky, группировка потратила месяцы на попытки взломать большое количество организаций в Израиле с помощью инструментов цепочки поставок.

Хотя создается впечатление, будто Lyceum переключила свое внимание со Среднего Востока и Африки на Израиль, на самом деле группировка атаковала израильские компании с целью подобраться ближе к истинным мишеням через цепочку поставок, уверены эксперты.