كانت شركات تكنولوجيا المعلومات والاتصالات في إسرائيل في مركز حملة هجوم سلسلة التوريد التي تقودها ممثل تهديد إيراني يشارك في انتحال شخصية الشركات وعاملات الموارد البشرية لاستهداف الضحايا الذين لديهم عروض عمل وهمية في محاولة لاختراق أجهزة الكمبيوتر الخاصة بهم والوصول إلى عملاء الشركة.
كانت الهجمات، التي حدثت في موجات في شهري مايو ويوليو 2021، مرتبطة بمجموعة هاكر تسمى سياميسيتن (المعروفة AKA Lyceum أو الهكسان) التي خصصت في المقام الأول مقدمي النفط والغاز والاتصالات في الشرق الأوسط وفي أفريقيا على الأقل منذ عام 2018، قال باحثون من كليرسكي في تقرير نشر يوم الثلاثاء.
بدأت الالتهابات التي أجراها العدوى بتحديد الضحايا المحتملين، الذين قاموا بعد ذلك بتقديم عروض الوظائف “مغرية” في شركات معروفة مثل Chippc وبرمجيات من قبل موظفي دائرة الموارد البشرية من الشركات المناهضة، فقط لقيادة الضحايا فقط موقع الخداع الذي يحتوي على ملفات سلاح يقوم بتفريغ الأبعاد المعروف باسم Milan لإقامة اتصالات مع خادم بعيد وتنزيل Access مرحلة ثانية طروادة باسم Danbot.
نظرت Clearsky إلى أن التركيز الهجمات على شركات تكنولوجيا المعلومات وتشير إلى أنها تهدف إلى تسهيل هجمات سلسلة التوريد على عملائها.
إلى جانب توظيف مستندات إغراء كتجارب هجوم أولي، تضمنت البنية التحتية للمجموعة إعداد مواقع الويب الاحتيالية لتقليد الشركة التي يتم انتحالها وكذلك إنشاء ملفات تعريف مزيفة على LinkedIn. تأخذ ملفات إغراءها، من جانبها، شكل جدول بيانات Excel المدمج من الكائنات الكلية تفاصيل عروض الوظائف المفترضة وملف قابل للتنفيذ محمول (PE) يتضمن “كتالوج” للمنتجات المستخدمة من قبل المنظمة المناهضة.
بغض النظر عن الملف الذي تم تنزيله من قبل الضحية، تتوج سلسلة الهجوم في تثبيت Milan BackDoor المستندة إلى C ++. إن هجمات 2021 يوليو ضد الشركات الإسرائيلية هي أيضا ملحوظة على حقيقة أن ممثل التهديد محل ميلان مع زرع جديد يسمى القرش المكتوبة في .NET.
وقالت شركة الجهبر الصيني الإسرائيلي “هذه الحملة تشبه حملة الباحثين عن عملهم الكوري الشمالييين، وتوظف ما أصبح متجه هجوم يستخدم على نطاق واسع في السنوات الأخيرة – الانتحال.” “الهدف الرئيسي للمجموعة هو إجراء التجسس والاستفادة من الشبكة المصابة للوصول إلى شبكات عملائها. كما هو الحال مع المجموعات الأخرى، فمن المحتمل أن تجمع التجسس والمخابرات هي الخطوات الأولى نحو تنفيذ هجمات الانتحال المستهدفة من البرامج الضارة أو البرامج الضارة. “