Les pirates informatiques associés au gouvernement iranien ont concentré leurs efforts d’attaque sur les entreprises informatiques et de communication en Israël, probablement dans le but de se tourner vers leurs véritables cibles.

Les campagnes ont été attribuées au groupe iranien APT connu sous le nom de Lyceum, Hexane et Siamesekitten, qui mène des campagnes d’espionnage depuis au moins 2018 [1, 2].

Lors de plusieurs attaques détectées en mai et juillet, les pirates ont combiné des techniques d’ingénierie sociale avec une variante de malware mise à jour qui leur donnerait finalement un accès à distance à la machine infectée.

Dans un cas, les pirates ont utilisé le nom d’un ancien responsable des ressources humaines de la société de technologie ChipPC pour créer un faux profil LinkedIn, une indication claire que les attaquants ont fait leurs devoirs avant de lancer la campagne.

Faux profil LinkedIn pour le responsable des ressources humaines de ChipPC
source:ClearSky

Des chercheurs sur les menaces de la société de cybersécurité ClearSky dans un rapport [PDF] disent aujourd’hui que des acteurs siamois ont ensuite utilisé le faux profil pour livrer des logiciels malveillants à des victimes potentielles sous prétexte d’une offre d’emploi :

  1. Identification de la victime potentielle (employé)
  2. Identification de l’employé du service des ressources humaines à usurper l’identité
  3. Création d’un site Web d’hameçonnage qui usurpe l’identité de l’organisation cible
  4. Création de fichiers leurres compatibles avec l’organisation usurpée
  5. Créer un faux profil sur LinkedIn au nom de l’employé RH
  6. Contacter les victimes potentielles avec une offre d’emploi « séduisante », détaillant un poste dans l’organisation usurpée
  7. Envoi de la victime vers un site Web de phishing avec un fichier leurre
  8. Une porte dérobée infecte le système et se connecte au serveur C&C via DNS et HTTPS
  9. Le DanBot RAT est téléchargé sur le système infecté
  10. Les pirates obtiennent des données à des fins d’espionnage et tentent de se propager sur le réseau

ClearSky pense que Siamesekitten a passé des mois à essayer de percer un grand nombre d’organisations en Israël à l’aide d’outils de chaîne d’approvisionnement.

Alors que l’intérêt de l’acteur menaçant semble avoir changé par rapport aux organisations du…

Voir la source de cette publication