Yapılan bir soruşturma, İran’la bağlantısı olan bir grubun son iki yıldır İsrail’in ulaştırma, lojistik ve teknoloji sektörlerine yönelik su kuyusu saldırıları düzenlediğini ortaya çıkardı.
CrowdStrike tarafından bugün açıklanan araştırmaya göre, siber casusluk saldırıları, daha önce kuruluşları hedef alan “Imperial Kitten” (diğer adıyla Yellow Liderc, Tortoiseshell, TA456 ve Crimson Sandstorm) adlı devlet destekli gelişmiş kalıcı tehdit (APT) tarafından gerçekleştirildi. İsrail denizcilik, ulaştırma ve teknoloji sektörlerinde. Grubun İran’ın İslam Devrim Muhafızları Teşkilatıyla bağlantısı olduğundan şüpheleniliyor.
Su sızıntısı saldırıları, CrowdStrike’ın “stratejik web ihlali” olarak adlandırdığı, Imperial Kitten’ın web sitesi ziyaretçilerini kişisel bilgileri ve kimlik bilgilerini çalan, saldırgan tarafından kontrol edilen konumlara yönlendirmek amacıyla meşru sitelere sızdığı saldırıyı içeriyor. Veriler daha sonra sabit kodlanmış bir alana gönderilir ve takip eden saldırılar için kullanılır. Güvenliği ihlal edilen web siteleri çoğunlukla İsrailliydi.
Imperial Kitten, stratejik Web güvenliği yoluyla veri sızdırma amacıyla BT hizmet sağlayıcıları gibi belirli kurbanları hedef alıyor. Ancak, benBazı durumlarda, saldırgan kurbanlara doğrudan kötü amaçlı yazılım gönderiyor ve aşağıdakileri içeren e-posta kampanyaları düzenliyor: Kampanyanın bir diğer parçası olarak kimlik avı saldırılarında kötü amaçlı Microsoft Excel belgeleri kullanıldı.
İkinci durumda, grup, hedeflerine erişim sağlamak için aktif olarak tarama araçlarını, çalınan VPN kimlik bilgilerini ve güvenlik açıklarından yararlanıyor, ardından yanal hareket için PAExec yardımcı programını kullanıyor ve son olarak veri sızdırma için özel ve açık kaynaklı kötü amaçlı yazılımlardan yararlanıyor.