Търсене
Close this search box.

Иранската Imperial Kitten се активизира

През октомври 2023 г. група, свързана с Иран, се насочва към транспортни, логистични и технологични сектори в Близкия изток, включително Израел, на фона на рязкото нарастване на иранската кибернетична активност след началото на войната между Израел и Хамас.

Атаките са приписани от CrowdStrike банда, която тя проследява под името Imperial Kitten и която е известна още като Crimson Sandstorm (преди Curium), TA456, Tortoiseshell и Yellow Liderc.

Последните констатации на компанията се основават на предишни доклади на Mandiant, ClearSky и PwC, като в последните са описани и случаи на стратегически компрометиране на мрежата (т.нар. watering hole атаки), които водят до внедряване на IMAPLoader в заразени системи.

„Противникът, активен поне от 2017 г. насам, вероятно изпълнява ирански стратегически разузнавателни изисквания, свързани с операции на IRGC“, заяви CrowdStrike в технически доклад. „Дейността му се характеризира с използването на социално инженерство, особено съдържание на тема набиране персонал, за предоставяне на персонализирани импланти, базирани на .NET.“

Веригите за атаки използват компрометирани уебсайтове, предимно свързани с Израел, за да профилират посетителите с помощта на специално разработен JavaScript и да екфилтрират информацията към контролирани от нападателя домейни.

Освен атаките от типа „watering hole“ има данни, които сочат, че Imperial Kitten прибягва до използване на еднодневни експлойти, откраднати пълномощия, фишинг и дори насочване към доставчици на ИТ услуги нагоре по веригата за първоначален достъп.

Фишинг кампаниите включват използването на макроси в документи на Microsoft Excel, за да се активира веригата на заразяване и да се пусне обратна обвивка, базирана на Python, която се свързва с твърдо кодиран IP адрес за получаване на по-нататъшни команди.

Сред някои от забележителните дейности след експлоатирането са постигането на странично придвижване чрез използването на PAExec, вариант на PsExec с отворен код, и NetScan, последвано от доставката на имплантите IMAPLoader и StandardKeyboard.

Също така е разгърнат троянски кон за отдалечен достъп (RAT), който използва Discord за командване и управление, докато IMAPLoader и StandardKeyboard използват имейл съобщения (т.е. прикачени файлове и тялото на имейла) за получаване на задачи и изпращане на резултатите от изпълнението.

„Основната цел на StandardKeyboard е да изпълнява Base64-кодирани команди, получени в тялото на електронната поща“, посочва компанията за киберсигурност. „За разлика от IMAPLoader, този зловреден софтуер продължава да съществува на заразената машина като услуга на Windows, наречена Keyboard Service.“

Разработката идва в момент, когато Microsoft обрисува злонамерената кибердейност, приписвана на иранските групи след началото на войната на 7 октомври 2023 г., като по-скоро реактивна и опортюнистична.

„Иранските оператори [продължават] да прилагат своите изпитани тактики, а именно преувеличаване на успеха на атаките в компютърните мрежи и засилване на тези твърдения и дейности чрез добре интегрирано разгръщане на информационни операции“, заявиха от Майкрософт.

„По същество това е създаване на онлайн пропаганда, целяща да раздуе известността и въздействието на опортюнистичните атаки, в опит да увеличи ефекта им.“

Разкритието следва и разкритията, че свързана с Хамас групировка  на име Arid Viper е насочила към говорещите арабски език шпионски софтуер за Android, известен като SpyC23, чрез оръжейни приложения, маскирани като Skipped и Telegram, според Cisco Talos и SentinelOne.

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
Бъдете социални
Още по темата
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

КНДР се възползва от 2 подт...

Този месец MITRE ще добави две...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!