Търсене
Close this search box.

През октомври 2023 г. група, свързана с Иран, се насочва към транспортни, логистични и технологични сектори в Близкия изток, включително Израел, на фона на рязкото нарастване на иранската кибернетична активност след началото на войната между Израел и Хамас.

Атаките са приписани от CrowdStrike банда, която тя проследява под името Imperial Kitten и която е известна още като Crimson Sandstorm (преди Curium), TA456, Tortoiseshell и Yellow Liderc.

Последните констатации на компанията се основават на предишни доклади на Mandiant, ClearSky и PwC, като в последните са описани и случаи на стратегически компрометиране на мрежата (т.нар. watering hole атаки), които водят до внедряване на IMAPLoader в заразени системи.

„Противникът, активен поне от 2017 г. насам, вероятно изпълнява ирански стратегически разузнавателни изисквания, свързани с операции на IRGC“, заяви CrowdStrike в технически доклад. „Дейността му се характеризира с използването на социално инженерство, особено съдържание на тема набиране персонал, за предоставяне на персонализирани импланти, базирани на .NET.“

Веригите за атаки използват компрометирани уебсайтове, предимно свързани с Израел, за да профилират посетителите с помощта на специално разработен JavaScript и да екфилтрират информацията към контролирани от нападателя домейни.

Освен атаките от типа „watering hole“ има данни, които сочат, че Imperial Kitten прибягва до използване на еднодневни експлойти, откраднати пълномощия, фишинг и дори насочване към доставчици на ИТ услуги нагоре по веригата за първоначален достъп.

Фишинг кампаниите включват използването на макроси в документи на Microsoft Excel, за да се активира веригата на заразяване и да се пусне обратна обвивка, базирана на Python, която се свързва с твърдо кодиран IP адрес за получаване на по-нататъшни команди.

Сред някои от забележителните дейности след експлоатирането са постигането на странично придвижване чрез използването на PAExec, вариант на PsExec с отворен код, и NetScan, последвано от доставката на имплантите IMAPLoader и StandardKeyboard.

Също така е разгърнат троянски кон за отдалечен достъп (RAT), който използва Discord за командване и управление, докато IMAPLoader и StandardKeyboard използват имейл съобщения (т.е. прикачени файлове и тялото на имейла) за получаване на задачи и изпращане на резултатите от изпълнението.

„Основната цел на StandardKeyboard е да изпълнява Base64-кодирани команди, получени в тялото на електронната поща“, посочва компанията за киберсигурност. „За разлика от IMAPLoader, този зловреден софтуер продължава да съществува на заразената машина като услуга на Windows, наречена Keyboard Service.“

Разработката идва в момент, когато Microsoft обрисува злонамерената кибердейност, приписвана на иранските групи след началото на войната на 7 октомври 2023 г., като по-скоро реактивна и опортюнистична.

„Иранските оператори [продължават] да прилагат своите изпитани тактики, а именно преувеличаване на успеха на атаките в компютърните мрежи и засилване на тези твърдения и дейности чрез добре интегрирано разгръщане на информационни операции“, заявиха от Майкрософт.

„По същество това е създаване на онлайн пропаганда, целяща да раздуе известността и въздействието на опортюнистичните атаки, в опит да увеличи ефекта им.“

Разкритието следва и разкритията, че свързана с Хамас групировка  на име Arid Viper е насочила към говорещите арабски език шпионски софтуер за Android, известен като SpyC23, чрез оръжейни приложения, маскирани като Skipped и Telegram, според Cisco Talos и SentinelOne.

Източник: The Hacker News

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
15 септември 2024

Microsoft и Quantinuum комбинират HPC, AI и ква...

Технологичният гигант Microsoft и водещият разработчик на квантови ...
15 септември 2024

ФБР: Игнорирайте фалшивите твърдения за хакнати...

Федералното бюро за разследване (ФБР) и Агенцията за киберсигурност...
Бъдете социални
Още по темата
10/09/2024

Полша предотвратява руски и...

В понеделник полските служби за сигурност...
06/09/2024

Индийска пропаганда се разп...

След три години работа е разкрита...
05/09/2024

Руското подразделение на ГР...

Според съвместна консултация на правителството на...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!