Araştırmacılar, İran’la bağları olan bir rakip olan IMPERIAL KITTEN’in taşımacılık, lojistik ve teknoloji firmaları odaklı stratejik web uzlaşma (SWC) operasyonları yürüttüğünü tespit etti.
En az 2017’den beri faaliyet gösteren düşmanın İslam Devrim Muhafızları Birliği (IRGC) ile bağları olduğu ve İran’ın Devrim Muhafızları faaliyetleriyle ilgili stratejik istihbarat ihtiyaçlarını karşıladığı bildirildi.
Operasyonu, özel .NET tabanlı implantları dağıtmak için sosyal mühendislik, yani işe alım temalı içerik kullanımıyla öne çıkıyor.
IMPERIAL KITTEN daha önce enerji, denizcilik, savunma, teknoloji, danışmanlık ve profesyonel hizmetler sektörlerini hedef alıyordu.
Kullanılan Taktikler, Teknikler ve Prosedürler
CrowdStrike, IMPERIAL KITTEN izinsiz giriş zincirlerinin aşağıdaki taktikleri, teknikleri ve prosedürleri kullandığını iddia ediyor:
- İlk erişim elde etmek için bir günlük açıklardan yararlanılması, genel tarama araçları, SQL enjeksiyonu ve güvenliği ihlal edilmiş VPN kimlik bilgilerinin kullanılması.
- Tarama araçlarının, PAExec’in ve kimlik bilgileri hırsızlığının kullanılması.
- Orta Doğu varlıklarını hedef almak için özel ve açık kaynaklı kötü amaçlı yazılımlardan yararlanarak veri hırsızlığı.
CrowdStrike, Cyber Security News ile paylaşılan bir raporda, “Bir SWC’de, düşman, mağdurları düşman kontrolündeki bir web sitesine çekerek ortak çıkarlarına dayalı olarak mağdurları tehlikeye atmaya çalışır” dedi.
Şu an itibariyle, ele geçirilen (çoğunlukla İsrailli) web siteleri, aynı zamanda ziyaretçi profilleri oluşturmak için toplanan verilerin gönderildiği konumlar olan, düşman kontrolündeki alanlara yönlendirilebiliyor.
Araştırmacılara göre SWC alanları, ele geçirilen İsrail web sitelerini ziyaret eden ziyaretçilerin profilini çıkarmak için 2022’nin başlarında Matomo analiz hizmetini1 kullandı.
Daha sonra SWC etki alanı yinelemeleri, tarayıcı bilgilerini ve IP adreslerini toplayarak ziyaretçilerin profilini çıkarmak için özel bir komut dosyası kullanır ve bunlar daha sonra sabit kodlanmış bir etki alanına iletilir.
CrowdStrike Intelligence Collection raporlarına göre SWC etkinliklerinin son yükü, IMAPLoader olarak bilinen bir kötü amaçlı yazılım ailesidir.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Raporlarda, saldırganın zaman zaman doğrudan SWC kurbanlarına kötü amaçlı yazılım sunabileceği belirtiliyor. IMPERIAL KITTEN’in, veri sızdırma açısından büyük önem taşıyan hedefleri bulmak ve bunlara erişim sağlamak amacıyla üst düzey BT hizmet sağlayıcıları gibi şirketleri hedef aldığına dair bazı kanıtlar bulunmaktadır.
Ayrıca IMPERIAL KITTEN’in kimlik avı operasyonlarında kötü amaçlı Microsoft Excel belgelerinin kullanıldığı da iddia ediliyor.
Araştırmacılar, “IMPERIAL KITTEN, PAExec (açık kaynaklı PsExec alternatifi) ve NetScan kullanarak yanal hareket elde ediyor ve kimlik bilgileri toplamak için LSASS işlem belleğini boşaltmak için ProcDump’ı kullanıyor” dedi.
IMPERIAL KITTEN’in verileri sızdırmak için MeshAgent3 gibi açık kaynaklı araçlar kullanması veya özel kötü amaçlı yazılım dağıtması mümkündür.
IMPERIAL KITTEN operasyonlarının, özel implantlar, C2 için Discord’u kullanan bir uzaktan erişim aracı (RAT), her ikisi de C2 için e-postayı kullanan IMAPLoader ve StandardKeyboard gibi çeşitli araçlar kullandığı belirtiliyor.
Özellikle Mayıs 2023’te ClearSky tarafından karmaşık bir sulama deliği saldırısı tespit edildi ve Imperial Kitten’a bağlandı. Saldırı aynı zamanda çok sayıda İsrailli web sitesini de hedef alıyordu.
İsrailli ulaşım, denizcilik ve teknoloji gruplarını hedef almak Imperial Kitten’ın bu örnekteki önceki eylemleriyle de tutarlıdır.
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemesi için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.