През октомври 2023 г. група, свързана с Иран, се насочва към транспортни, логистични и технологични сектори в Близкия изток, включително Израел, на фона на рязкото нарастване на иранската кибернетична активност след началото на войната между Израел и Хамас.
Атаките са приписани от CrowdStrike банда, която тя проследява под името Imperial Kitten и която е известна още като Crimson Sandstorm (преди Curium), TA456, Tortoiseshell и Yellow Liderc.
Последните констатации на компанията се основават на предишни доклади на Mandiant, ClearSky и PwC, като в последните са описани и случаи на стратегически компрометиране на мрежата (т.нар. watering hole атаки), които водят до внедряване на IMAPLoader в заразени системи.
„Противникът, активен поне от 2017 г. насам, вероятно изпълнява ирански стратегически разузнавателни изисквания, свързани с операции на IRGC“, заяви CrowdStrike в технически доклад. „Дейността му се характеризира с използването на социално инженерство, особено съдържание на тема набиране персонал, за предоставяне на персонализирани импланти, базирани на .NET.“
Веригите за атаки използват компрометирани уебсайтове, предимно свързани с Израел, за да профилират посетителите с помощта на специално разработен JavaScript и да екфилтрират информацията към контролирани от нападателя домейни.
Освен атаките от типа „watering hole“ има данни, които сочат, че Imperial Kitten прибягва до използване на еднодневни експлойти, откраднати пълномощия, фишинг и дори насочване към доставчици на ИТ услуги нагоре по веригата за първоначален достъп.
Фишинг кампаниите включват използването на макроси в документи на Microsoft Excel, за да се активира веригата на заразяване и да се пусне обратна обвивка, базирана на Python, която се свързва с твърдо кодиран IP адрес за получаване на по-нататъшни команди.
Сред някои от забележителните дейности след експлоатирането са постигането на странично придвижване чрез използването на PAExec, вариант на PsExec с отворен код, и NetScan, последвано от доставката на имплантите IMAPLoader и StandardKeyboard.
Също така е разгърнат троянски кон за отдалечен достъп (RAT), който използва Discord за командване и управление, докато IMAPLoader и StandardKeyboard използват имейл съобщения (т.е. прикачени файлове и тялото на имейла) за получаване на задачи и изпращане на резултатите от изпълнението.
„Основната цел на StandardKeyboard е да изпълнява Base64-кодирани команди, получени в тялото на електронната поща“, посочва компанията за киберсигурност. „За разлика от IMAPLoader, този зловреден софтуер продължава да съществува на заразената машина като услуга на Windows, наречена Keyboard Service.“
Разработката идва в момент, когато Microsoft обрисува злонамерената кибердейност, приписвана на иранските групи след началото на войната на 7 октомври 2023 г., като по-скоро реактивна и опортюнистична.
„Иранските оператори [продължават] да прилагат своите изпитани тактики, а именно преувеличаване на успеха на атаките в компютърните мрежи и засилване на тези твърдения и дейности чрез добре интегрирано разгръщане на информационни операции“, заявиха от Майкрософт.
„По същество това е създаване на онлайн пропаганда, целяща да раздуе известността и въздействието на опортюнистичните атаки, в опит да увеличи ефекта им.“
Разкритието следва и разкритията, че свързана с Хамас групировка на име Arid Viper е насочила към говорещите арабски език шпионски софтуер за Android, известен като SpyC23, чрез оръжейни приложения, маскирани като Skipped и Telegram, според Cisco Talos и SentinelOne.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.