ClearSky 的研究人员表示，近期发现名为 Siamesekitten（又名 Lyceum 或 Hexane）的黑客组织在 2021 年 5 月和 7 月针对以色列的 IT 和通信公司发起了供应链攻击。

攻击流程分析

整个攻击流程大体如下所示：

1、攻击者针对潜在的受害者，通过伪装成指定公司的人力资源专员（HR），以 ChipPc 和 Software AG 公司的“诱人”的工作机会为诱饵。

攻击者伪造了两个网站，一个模仿德国企业软件公司Software AG的网站，另一个模仿ChipPc的网站。Software AG 和 ChipPc 都是软件开发公司。因此ClearSky 推测，Siamesekitten 攻击主要针对 IT 和通信公司，并试图使用供应链攻击破坏以色列企业。

2、攻击者在领英上设置虚假个人资料，详细说明职位信息，引导受害者访问钓鱼网站，诱使用户下载诱饵文件。

除了使用诱饵文件作为初始攻击向量以及构建欺诈网站之外，该攻击组织还在 LinkedIn 上创建虚假个人资料。

3、用户执行后下载名为 Milan 的后门，通过 DNS 和 HTTPS 连接到 C&C 服务器渗透进入公司。拉取名为 DanBot 的远控木马，窃取数据并横向平移。

诱饵文件在 Excel 文件中插入宏代码，文件中描述了虚假的工作机会和组织使用的产品目录，还会释放 PE 文件。

此前攻击链走到最后都会是 C++ 编写的 Milan 后门，2021 年 7 月针对以色列的公司的攻击使用 .NET 编写的 Shark 代替了 Milan。

如下所示，与 C&C 服务器通信。

以色列安全公司 ClearSky 表示：

“该组织的攻击行动与朝鲜的黑客组织类似，也经常使用伪装术。

“该组织的主要目标是进行间谍活动，并利用失陷主机对目标公司的其他网络进行攻击。”

Siamesekitten组织

Siamesekitten（又名Lyceum、Hexane）是一个活跃在中东和非洲的伊朗 APT 组织，该组织至少从 2018 年开始就在积极开展间谍活动。

Dragos 公司在去年发布的一份报告中指出，该 APT 组织主要攻击中东地区的石油和天然气公司，其中“科威特是主要的目标行动地区”。

该组织的主要攻击对象是能源企业，但该组织也攻击位于大中东地区、中亚地区和非洲地区的电信提供商。

此外，安全公司Dragos和Secureworks表示该组织使用的策略，技术和程序（TTPs）类似于APT33和APT34，而后两个APT组织通常被认为与伊朗有关。

IOC

a90ae3747764127decae5a0d7856ef95
254e134490a0b74b3a66626fc0d62ff972cfc1a2
08261ed40e21140eb438f16af0233217c701d9b022dce0a45b6e3e1ee2467739
a5aecb5b2c495a4a9631fca9b36aaf44
c2e48c8e697ec88bf8057a5c0f1dc3005773956c
586b25053bd98c8f8e50ff01d35aaa438e10458a36c56e75f0e803d3e97a6012
ce243f6a09daca21486b1f6f7a6fc403
7a463341e5de49afef99bcfdc59e1cb69bd898f0
5208cca3c4a8c42d590de4cfed4abfd37e99247bc06cba529dec55b836a55e74
d30bcd249fc066e341997e2abc0878da
022abfd7b63e3feac77bbada610d1de0931b68bb
8a1aba0de3f00c04dbaa8ebb905f7398a2b532619a1b0f5a715e0ad04de0d06b
fd3e147521114d6ebc8924ce6cd5e253
3ce71f269f191dad1c9ed137a5f439788d10cd5a
99a8d8bb87070458c0c007205418e7a209f0b97914045ff4121b4df4b54ce554
e80c5a18c5a3a5cf2764535f8795bb81
9e3c2030a4bc9b89727346bc447701bd43c841e4
74c331cfacbe57f3c92a4bddce237253cab52755f2149625eff18e0ecdbcdda2
e2919dea773eb0796e46e126dbce17b1
94aa7417f388c61a2d63ddcba6efec80c55f8555
b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249
a4185f95c61076590ca2eb96e4697c73
1b990280fd7f13143bddb1cfd69265650aecf49f
89ab99f5721b691e5513f4192e7c96eb0981ddb6c2d2b94c1a32e2df896397b8
49b002fc6729f346f8114770ea991510
ee98f9fb8050d7232466da064637e8afc285f2c4
f6ae4f4373510c4e096fab84383b547c8997ccf3673c00660df8a3dc9ed1f3ca
3a3d600ad9c9615f18003620a1bf5f28
7b3b3b8aa37ca78c46ec2774784cf51d190733e8
44faf11719b3a679e7a6dd5db40033ec4dd6e1b0361c145b81586cb735a64112
1d94961261c5da63ff5faa7616cec579
41ad24e9ca3e36d9e55d574248482bf81e263c12
2f2ef9e3f6db2146bd277d3c4e94c002ecaf7deaabafe6195fddabc81a8ee76c
3e993dfe5ce90dadb0cf0707d260febd
69d58a5ff2c0343119816d34ce9da8d9bc6f47c9
21ab4357262993a042c28c1cdb52b2dab7195a6c30fa8be723631604dd330b29
52c6326af893e3baa1c43c59827f61eb
3b31bbfee1dd606e40e17759f79c12b423f2cf6f
4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248
e8d3aeea7617982bb6e484a9f8307e6b
09bd833782a6b2cccdd3285ad12f23bedb1dbb77
d3606e2e36db0a0cb1b8168423188ee66332cae24fe59d63f93f5f53ab7c3029
softwareagjobs.com
Jobschippc.com 
dnsstatus.org 
defenderstatus.com
defenderlive.com
wsuslink.com
Akastatus.com
Zonestatistic.com 
23.95.218.240 
23.94.22.145
23.95.9.100
185.243.112.120
185.243.112.120
185.244.213.73
98.117.103.32
51.79.62.98
198.23.239.140

参考来源

ClearSky

TheHackerNews

BleepingComputer