Дослідники безпеки відстежили нову кампанію Imperial Kitten, спрямовану на транспортні, логістичні та технологічні компанії. Імператорське кошеня також відоме як Черепаховий, TA456, Багряна піщана буря та Жовтий Лідерк, і протягом кількох років воно використовувало онлайн-персону Марселли Флорес.
Це загрозливий актор, пов’язаний із Корпусом вартових ісламської революції (КВІР), філією збройних сил Ірану, який активно працює принаймні з 2017 року, здійснюючи кібератаки на організації в різних секторах, включаючи оборону, технології, телекомунікації, морський транспорт, енергетика, консультаційні та професійні послуги.
Нещодавні атаки виявили дослідники компанії з кібербезпеки CrowdStrike, які зробили атрибуцію на основі збігів інфраструктури з минулими кампаніями, спостережуваних тактик, методів і процедур (TTP), використання шкідливого програмного забезпечення IMAPLoader, фішингових спокус.
Імператорський кошеня атакує
У звіті, опублікованому на початку цього тижня, дослідники стверджують, що Imperial Kitten запустив фішингові атаки в жовтні, використовуючи тему «набір на роботу» в електронних листах зі шкідливим вкладенням Microsoft Excel. Під час відкриття документа зловмисний макрокод витягує два пакетні файли, які створюють постійність через зміни реєстру та запускають корисні навантаження Python для зворотного доступу до оболонки.
Потім зловмисник переміщається вбік мережею, використовуючи такі інструменти, як PAExec для віддаленого виконання процесів і NetScan для розвідки мережі. Крім того, вони використовують ProcDump для отримання облікових даних із системної пам’яті.
Зв’язок із сервером управління та управління (C2) здійснюється за допомогою спеціального шкідливого програмного забезпечення IMAPLoader і StandardKeyboard, обидва покладаються на електронну пошту для обміну інформацією. Дослідники кажуть, що StandardKeyboard зберігається на скомпрометованій машині як Windows Service Keyboard Service і виконує команди, закодовані в base64, отримані від C2.
CrowdStrike підтвердив для BleepingComputer, що атаки в жовтні 2023 року були спрямовані на ізраїльські організації після конфлікту Ізраїлю та ХАМАС.
Минулі кампанії
У попередній діяльності Imperial Kitten здійснював атаки на водопої, скомпрометувавши кілька ізраїльських веб-сайтів за допомогою коду JavaScript, який збирав інформацію про відвідувачів, таку як дані веб-переглядача та IP-адресу, профілюючи потенційні цілі. Команда Threat Intelligence у PricewaterhouseCoopers (PwC) каже, що ці кампанії відбувалися між 2022 та 2023 роками та були націлені на сектори морського судноплавства, транспортування та логістики, а деякі з жертв отримали зловмисне програмне забезпечення IMAPLoader, яке вводило додаткові корисні навантаження.
В інших випадках Crowdstrike бачив, як хакери зламували мережі безпосередньо, використовуючи загальнодоступний код експлойту, використовуючи вкрадені облікові дані VPN, виконуючи ін’єкції SQL або через фішингові електронні листи, надіслані цільовій організації. І CrowdStrike, і PwC надають індикатори компрометації (IoC) для зловмисного програмного забезпечення та інфраструктури зловмисника, що використовується під час спостережуваних атак. Джерело