През октомври 2023 г. група, свързана с Иран, се насочва към транспортни, логистични и технологични сектори в Близкия изток, включително Израел, на фона на рязкото нарастване на иранската кибернетична активност след началото на войната между Израел и Хамас.
Атаките са приписани от CrowdStrike банда, която тя проследява под името Imperial Kitten и която е известна още като Crimson Sandstorm (преди Curium), TA456, Tortoiseshell и Yellow Liderc.
Последните констатации на компанията се основават на предишни доклади на Mandiant, ClearSky и PwC, като в последните са описани и случаи на стратегически компрометиране на мрежата (т.нар. watering hole атаки), които водят до внедряване на IMAPLoader в заразени системи.
„Противникът, активен поне от 2017 г. насам, вероятно изпълнява ирански стратегически разузнавателни изисквания, свързани с операции на IRGC“, заяви CrowdStrike в технически доклад. „Дейността му се характеризира с използването на социално инженерство, особено съдържание на тема набиране персонал, за предоставяне на персонализирани импланти, базирани на .NET.“
Веригите за атаки използват компрометирани уебсайтове, предимно свързани с Израел, за да профилират посетителите с помощта на специално разработен JavaScript и да екфилтрират информацията към контролирани от нападателя домейни.
Освен атаките от типа „watering hole“ има данни, които сочат, че Imperial Kitten прибягва до използване на еднодневни експлойти, откраднати пълномощия, фишинг и дори насочване към доставчици на ИТ услуги нагоре по веригата за първоначален достъп.
Фишинг кампаниите включват използването на макроси в документи на Microsoft Excel, за да се активира веригата на заразяване и да се пусне обратна обвивка, базирана на Python, която се свързва с твърдо кодиран IP адрес за получаване на по-нататъшни команди.
Сред някои от забележителните дейности след експлоатирането са постигането на странично придвижване чрез използването на PAExec, вариант на PsExec с отворен код, и NetScan, последвано от доставката на имплантите IMAPLoader и StandardKeyboard.
Също така е разгърнат троянски кон за отдалечен достъп (RAT), който използва Discord за командване и управление, докато IMAPLoader и StandardKeyboard използват имейл съобщения (т.е. прикачени файлове и тялото на имейла) за получаване на задачи и изпращане на резултатите от изпълнението.
„Основната цел на StandardKeyboard е да изпълнява Base64-кодирани команди, получени в тялото на електронната поща“, посочва компанията за киберсигурност. „За разлика от IMAPLoader, този зловреден софтуер продължава да съществува на заразената машина като услуга на Windows, наречена Keyboard Service.“
Разработката идва в момент, когато Microsoft обрисува злонамерената кибердейност, приписвана на иранските групи след началото на войната на 7 октомври 2023 г., като по-скоро реактивна и опортюнистична.
„Иранските оператори [продължават] да прилагат своите изпитани тактики, а именно преувеличаване на успеха на атаките в компютърните мрежи и засилване на тези твърдения и дейности чрез добре интегрирано разгръщане на информационни операции“, заявиха от Майкрософт.
„По същество това е създаване на онлайн пропаганда, целяща да раздуе известността и въздействието на опортюнистичните атаки, в опит да увеличи ефекта им.“
Разкритието следва и разкритията, че свързана с Хамас групировка на име Arid Viper е насочила към говорещите арабски език шпионски софтуер за Android, известен като SpyC23, чрез оръжейни приложения, маскирани като Skipped и Telegram, според Cisco Talos и SentinelOne.
