İran’la bağlantısı olan bir grup, İsrail-Hamas savaşının başlangıcından bu yana İran’ın siber faaliyetlerinde yaşanan artışın ortasında, Ekim 2023’te İsrail dahil Orta Doğu’daki ulaştırma, lojistik ve teknoloji sektörlerini hedef aldı.
Saldırılar CrowdStrike tarafından takip edilen bir tehdit aktörüne atfedildi. İmparatorluk KedisiKızıl Kum Fırtınası (önceden Curium), TA456, Kaplumbağa Kabuğu ve Sarı Liderc olarak da bilinir.
Şirketin en son bulguları, Mandiant, ClearSky ve PwC’den gelen önceki raporlara dayanıyor; bunlardan sonuncusu, IMAPLoader’ın virüslü sistemlerde konuşlandırılmasına yol açan stratejik web saldırılarının (diğer bir deyişle sulama deliği saldırıları) ayrıntılı örneklerini de içeriyor.
CrowdStrike teknik bir raporda, “En az 2017’den beri aktif olan düşman muhtemelen İran’ın Devrim Muhafızları operasyonlarıyla ilgili stratejik istihbarat gereksinimlerini karşılıyor” dedi. “Faaliyeti, özel .NET tabanlı implantlar sunmak için sosyal mühendislik, özellikle işe alım temalı içerik kullanımıyla karakterize ediliyor.”
Saldırı zincirleri, özel JavaScript kullanarak ziyaretçilerin profilini çıkarmak ve bilgileri saldırganın kontrolündeki alanlara sızdırmak için, başta İsrail ile ilgili olanlar olmak üzere, güvenliği ihlal edilmiş web sitelerinden yararlanır.
Su kuyusu saldırılarının yanı sıra, Imperial Kitten’in bir günlük açıklardan yararlanmaya, çalınan kimlik bilgilerine, kimlik avına başvurduğuna ve hatta ilk erişim için yukarı akışlı BT hizmet sağlayıcılarını hedef aldığına dair kanıtlar var.
Kimlik avı kampanyaları, enfeksiyon zincirini etkinleştirmek ve daha fazla komut almak için sabit kodlanmış bir IP adresine bağlanan Python tabanlı bir ters kabuk bırakmak için makro bağlantılı Microsoft Excel belgelerinin kullanılmasını içerir.
Kullanım sonrası dikkate değer faaliyetlerden bazıları arasında, PsExec’in açık kaynaklı çeşidi olan PAExec ve NetScan’in kullanımı yoluyla yanal hareketin sağlanması ve ardından IMAPLoader ve StandardKeyboard implantlarının teslim edilmesi yer alıyor.
Ayrıca, komuta ve kontrol için Discord’u kullanan bir uzaktan erişim truva atı (RAT) da dağıtılırken, hem IMAPLoader hem de StandardKeyboard, görevleri almak ve yürütmenin sonuçlarını göndermek için e-posta mesajlarını (yani ekler ve e-posta gövdesi) kullanır.
Siber güvenlik şirketi, “StandardKeyboard’un ana amacı, e-posta gövdesinde alınan Base64 kodlu komutları yürütmektir” dedi. “IMAPLoader’dan farklı olarak bu kötü amaçlı yazılım, etkilenen makinede Klavye Hizmeti adlı bir Windows Hizmeti olarak varlığını sürdürüyor.”
Bu gelişme, Microsoft’un, savaşın 7 Ekim 2023’te başlamasının ardından İranlı gruplara atfedilen kötü amaçlı siber faaliyetlerin daha reaktif ve fırsatçı olduğunu belirtmesiyle ortaya çıktı.
“İranlı operatörler [are] Microsoft, denenmiş ve doğrulanmış taktiklerini kullanmaya devam ederek, özellikle bilgisayar ağı saldırılarının başarısını abartarak ve bu iddiaları ve faaliyetleri iyi entegre edilmiş bilgi operasyonları dağıtımı yoluyla güçlendirerek sürdürüyor” dedi.
“Bu aslında fırsatçı saldırıların etkisini artırmak amacıyla kötü şöhretini ve etkisini artırmaya çalışan çevrimiçi propaganda yaratmaktır.”
Açıklama aynı zamanda Cisco Talos ve SentinelOne’a göre, Arid Viper adlı Hamas’a bağlı bir tehdit aktörünün SpyC23 olarak bilinen bir Android casus yazılımıyla Skipped ve Telegram gibi görünen silahlı uygulamalar aracılığıyla Arapça konuşanları hedef aldığının ortaya çıkmasının ardından geldi.