Güvenlik araştırmacıları Imperial Kitten’ın taşımacılık, lojistik ve teknoloji firmalarını hedef alan yeni bir kampanyasını izledi.
Imperial Kitten ayrıca Kaplumbağa Kabuğu, TA456, Kızıl Kum Fırtınası ve Sarı Liderc olarak da bilinir ve birkaç yıl boyunca çevrimiçi kişiliğini Marcella Flores’i kullandı.
İran Silahlı Kuvvetlerinin bir kolu olan İslam Devrim Muhafızları Birliği (IRGC) ile bağlantılı bir tehdit aktörüdür ve en az 2017’den bu yana savunma, teknoloji, telekomünikasyon, denizcilik gibi çeşitli sektörlerdeki kuruluşlara karşı siber saldırılar gerçekleştirmektedir. enerji, danışmanlık ve profesyonel hizmetler.
Son saldırılar, geçmiş kampanyalarla altyapı örtüşmelerine, gözlemlenen taktiklere, tekniklere ve prosedürlere (TTP’ler), IMAPLoader kötü amaçlı yazılımının kullanımına ve kimlik avı tuzaklarına dayalı olarak ilişkilendirmeyi yapan siber güvenlik şirketi CrowdStrike’daki araştırmacılar tarafından keşfedildi.
Imperial Kitten saldırıları
Bu haftanın başlarında yayınlanan bir raporda araştırmacılar, Imperial Kitten’ın Ekim ayında kötü amaçlı bir Microsoft Excel eki taşıyan e-postalarda ‘işe alım’ temasını kullanarak kimlik avı saldırıları başlattığını söylüyor.
Belgeyi açarken, içindeki kötü amaçlı makro kod, kayıt defteri değişiklikleri yoluyla kalıcılık oluşturan ve ters kabuk erişimi için Python verilerini çalıştıran iki toplu iş dosyasını çıkarır.
Saldırgan daha sonra işlemleri uzaktan yürütmek için PAExec ve ağ keşfi için NetScan gibi araçları kullanarak ağ üzerinde yanal olarak hareket eder. Ayrıca sistem belleğinden kimlik bilgilerini almak için ProcDump’ı kullanırlar.
Komuta ve kontrol (C2) sunucusuyla iletişim, özel kötü amaçlı yazılım IMAPLoader ve StandardKeyboard kullanılarak sağlanıyor; her ikisi de bilgi alışverişi için e-postayı kullanıyor.
Araştırmacılar, StandardKeyboard’un ele geçirilen makinede Windows Hizmeti olarak varlığını sürdürdüğünü söylüyor Klavye Hizmeti ve C2’den alınan base64 kodlu komutları yürütür.
CrowdStrike, BleepingComputer için Ekim 2023 saldırılarının İsrail-Hamas çatışmasının ardından İsrail örgütlerini hedef aldığını doğruladı.
Geçmiş kampanyalar
Önceki faaliyette Imperial Kitten, ziyaretçiler hakkında tarayıcı verileri ve IP adresi gibi bilgileri toplayan ve potansiyel hedeflerin profilini çıkaran JavaScript koduyla birkaç İsrail web sitesini tehlikeye atarak sulama deliği saldırıları gerçekleştirdi.
PricewaterhouseCoopers’daki (PwC) Tehdit İstihbaratı ekibi, bu kampanyaların 2022 ile 2023 yılları arasında gerçekleştiğini ve denizcilik, denizcilik ve lojistik sektörlerini hedef aldığını, kurbanlardan bazılarının ek yük getiren IMAPLoader kötü amaçlı yazılımını aldığını söylüyor.
Diğer durumlarda Crowdstrike, bilgisayar korsanlarının ağları doğrudan ihlal ettiğini, kamuya açık yararlanma kodlarından yararlandığını, çalıntı VPN kimlik bilgilerini kullandığını, SQL enjeksiyonu gerçekleştirdiğini veya hedef kuruluşa kimlik avı e-postaları gönderdiğini gördü.
Hem CrowdStrike hem de PwC [1, 2] Kötü amaçlı yazılımlara ve düşmanın gözlemlenen saldırılarda kullanılan altyapısına yönelik risk göstergeleri (IoC’ler) sağlar.