Ερευνητές ασφαλείας παρακολούθησαν μια νέα
καμπάνια
από την Imperial Kitten που στοχεύει εταιρείες μεταφορών, logistics και τεχνολογίας.
Το Imperial Kitten είναι επίσης γνωστό ως Tortoiseshell, TA456, Crimson Sandstorm και Yellow Liderc και για αρκετά χρόνια χρησιμοποίησε τη διαδικτυακή περσόνα Marcella Flores.
Είναι ένας παράγοντας απειλής που συνδέεται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης (IRGC), κλάδο των ιρανικών Ενόπλων Δυνάμεων, και δραστηριοποιείται τουλάχιστον από το 2017 πραγματοποιώντας κυβερνοεπιθέσεις εναντίον οργανισμών σε διάφορους τομείς, όπως η άμυνα, η τεχνολογία, οι τηλεπικοινωνίες, η ναυτιλία,
ενέργεια
ς, και συμβουλευτικές και επαγγελματικές υπηρεσίες.
Οι πρόσφατες επιθέσεις ανακαλύφθηκαν από ερευνητές της εταιρείας
κυβερνοασφάλεια
ς CrowdStrike, οι οποίοι έκαναν την απόδοση βάσει επικαλύψεων υποδομών με προηγούμενες καμπάνιες, παρατήρησαν τακτικές, τεχνικές και διαδικασίες (TTP), τη χρήση του κακόβουλου λογισμικού IMAPLoader, τα θέλγητρα phishing.
Επιθέσεις Imperial Kitten
Σε ένα
κανω ΑΝΑΦΟΡΑ
Δημοσιεύτηκαν νωρίτερα αυτή την εβδομάδα, οι ερευνητές λένε ότι η Imperial Kitten εξαπέλυσε επιθέσεις phishing τον Οκτώβριο χρησιμοποιώντας ένα θέμα «πρόσληψη
εργασία
ς» σε
email
που έφεραν κακόβουλο συνημμένο του Microsoft Excel.
Κατά το άνοιγμα του εγγράφου, ο κακόβουλος κώδικας μακροεντολής μέσα εξάγει δύο αρχεία δέσμης που δημιουργούν επιμονή μέσω τροποποιήσεων μητρώου και και εκτελούν ωφέλιμα φορτία Python για αντίστροφη πρόσβαση στο κέλυφος.
Στη συνέχεια, ο εισβολέας μετακινείται πλευρικά στο δίκτυο χρησιμοποιώντας εργαλεία όπως το PAExec για την απομακρυσμένη εκτέλεση διεργασιών και το NetScan για αναγνώριση δικτύου. Επιπλέον, χρησιμοποιούν το ProcDump για να αποκτήσουν διαπιστευτήρια από τη μνήμη του συστήματος.
Η επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2) επιτυγχάνεται χρησιμοποιώντας το προσαρμοσμένο κακόβουλο λογισμικό IMAPLoader και StandardKeyboard, και τα δύο βασίζονται σε email για την ανταλλαγή πληροφοριών.
Οι ερευνητές λένε ότι το StandardKeyboard παραμένει στο μηχάνημα που έχει παραβιαστεί ως η Υπηρεσία των Windows
Υπηρεσία πληκτρολογίου
και εκτελεί εντολές με κωδικοποίηση base64 που λαμβάνονται από το C2.
Το CrowdStrike επιβεβαίωσε για το BleepingComputer ότι οι επιθέσεις του Οκτωβρίου 2023 είχαν στόχο ισραηλινές οργανώσεις μετά τη σύγκρουση Ισραήλ-Χαμάς.
Προηγούμενες καμπάνιες
Σε προηγούμενη δραστηριότητα, το Imperial Kitten πραγματοποίησε επιθέσεις με το να διακυβεύσει αρκετούς Ισραηλινούς ιστότοπους με κώδικα JavaScript που συνέλεγε πληροφορίες για επισκέπτες, όπως δεδομένα προγράμματος περιήγησης και διεύθυνση IP, δημιουργώντας προφίλ πιθανών στόχων.
Η ομάδα Threat Intelligence στην PricewaterhouseCoopers (PwC)
λέει
ότι αυτές οι εκστρατείες πραγματοποιήθηκαν μεταξύ 2022 και 2023 και στόχευαν σε τομείς της ναυτιλίας, της ναυτιλίας και της εφοδιαστικής, ορισμένα από τα θύματα έλαβαν το κακόβουλο λογισμικό IMAPLoader που εισήγαγε πρόσθετα ωφέλιμα φορτία.
Σε άλλες περιπτώσεις, το Crowdstrike είδε τους χάκερ να παραβιάζουν τα δίκτυα απευθείας, να αξιοποιούν δημόσιο κώδικα εκμετάλλευσης, να χρησιμοποιούν κλεμμένα διαπιστευτήρια VPN, να εκτελούν ένεση SQL ή μέσω email phishing που αποστέλλονται στον οργανισμό-στόχο.
Τόσο το CrowdStrike όσο και το PwC [
1
,
2
] παρέχουν δείκτες συμβιβασμού (IoC) για κακόβουλο λογισμικό και την υποδομή του αντιπάλου που χρησιμοποιούνται στις παρατηρούμενες επιθέσεις.
VIA:
bleepingcomputer.com
