Siber Suçlar , Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
İran Casusluk Grubu Önceki Harekatlardaki Taktikleri Kullandı
Jayant Chakravarti (@JayJay_Tech) •
9 Kasım 2023
Güvenlik şirketi CrowdStrike’a göre, Imperial Kitten grubuna sahip İranlı devlet destekli bilgisayar korsanları, verileri ve kimlik bilgilerini çalmak ve sistemleri hacklemek için İsrailli lojistik, ulaşım ve teknoloji şirketlerine karşı siber saldırılar düzenliyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
CrowdStrike, grubun 2022 ile 2023 yılları arasında İsrail firmalarına saldırdığını gözlemlediğini söyledi. Grup, hedeflenen sistemlere ilk erişimi elde etmek için kurbanları saldırgan kontrolündeki alanlara çekmek, kimlik avı, VPN cihazlarına erişim için kimlik bilgileri hırsızlığı ve kamuya açık bilgilerin kötüye kullanılması da dahil olmak üzere çeşitli yöntemler kullanıyor. bir günlük güvenlik açıklarını duyurdu.
Imperial Kitten ilk olarak 2017’de ortaya çıktı ve Humeyni rejimine bağlı bir askeri grup olan İran’ın İslam Devrim Muhafızları Birliği ile bağlantıları var.
Grup daha önce İran devleti adına istihbarat toplamak amacıyla savunma, havacılık, denizcilik, bilişim ve lojistik kuruluşlarını hedef alıyordu. Proofpoint’e göre TA456 olarak takip ettiği Imperial Kitten, Devrim Muhafızları ile iletişim kurmak için Tahran merkezli Mahak Rayan Afraz şirketini paravan olarak kullanıyor.
PwC, Ekim ayındaki bir blog yazısında, Yellow Liderc adını verdiği Imperial Kitten’in, Akdeniz bölgesindeki denizcilik, denizcilik ve lojistik şirketlerine casusluk saldırıları gerçekleştirmek için kötü amaçlı JavaScript, kimlik avı e-postaları ve .NET kötü amaçlı yazılımlarının bir kombinasyonunu kullandığını söyledi (bkz: İranlı Hackerlar) Hedef Akdeniz Denizcilik, Lojistik Firmaları).
CrowdStrike, grubun İsrail-Hamas savaşı sırasında güvenlik şirketinin Ekim ayında analiz ettiği bir operasyonda, makro özellikli Excel belgeleri sunmak için kimlik avı e-postaları kullandığını söyledi. Kurban makroları etkinleştirdiğinde belge, C2 ile iletişim kurmak ve komutları almak için TCP bağlantı noktası 6443 üzerindeki sabit kodlu bir IP adresine bağlanan ters kabuğu çalıştıran üç toplu iş dosyasını çıkarır.
Imperial Kitten ayrıca yanal hareketi gerçekleştirmek için PAExec, NetScan ve PsExec gibi halka açık ve açık kaynaklı araçları kullanır; kimlik bilgilerini toplamak üzere LSASS işlem belleğini boşaltmak için ProcDump adlı bir komut satırı yardımcı aracı; ve güvenliği ihlal edilmiş sistemlerden veri sızdırmak için MeshAgent gibi açık kaynaklı veya özel kötü amaçlı yazılımlar.
Siber suç grubunun araç seti ayrıca, ek kötü amaçlı yazılımlar indiren ve operatörleriyle iletişim kurmak için e-postayı bir komuta ve kontrol kanalı olarak kullanan .NET tabanlı bir kötü amaçlı yazılım olan IMAPLoader’ı da içeriyor. CrowdStrike’ın analizine göre IMAPLoader ilk olarak Eylül ayında gözlemlendi ve AppDomainManager enjeksiyonu aracılığıyla yüklenen bir dinamik bağlantı kitaplığı olarak dağıtılıyor. Gömülü dosyalarındaki yazım hataları, geliştiricilerinin anadili İngilizce olmayan kişiler olduğunu gösteriyor.
Imperial Kitten ayrıca, C2 iletişimi için e-postayı kullanan ve e-posta yoluyla alınan Base64 kodlu komutları yürüten StandardKeyboard adlı bir .NET kötü amaçlı yazılımını da dağıttı. CrowdStrike, e-postanın bir komuta ve kontrol kanalı olarak sürekli kullanılmasının, operasyonun Imperial Kitten’a atfedilmesine yardımcı olduğunu söyledi.
Güvenlik şirketi ayrıca değerlendirmesini daha önce Imperial Kitten’a atfedilen benzer eylemlere dayandırdı; örneğin İsrail denizcilik, taşımacılık ve teknoloji şirketlerini hedef almaya devam etmesi; iş temalı kimlik avı e-postalarının kullanılması; ve daha önce kullanılan web uzlaşma altyapısına güvenmeye devam etmek. Şirket, göstergelerin çoğunun tek kaynaklı raporlamaya dayanması nedeniyle operasyonu düşük güven ile ilişkilendirdiğini söyledi.