İran Bağlantılı Imperial Kitten Siber Grubu Orta Doğu'nun Teknoloji Sektörlerini Hedef Alıyor
İran'la bağlantılı bir grup, İsrail-Hamas savaşının başlamasından bu yana İran'ın siber faaliyetlerindeki artışın ortasında Ekim 2023'te İsrail de dahil olmak üzere Orta Doğu'daki ulaşım, lojistik ve teknoloji sektörlerini hedef aldı.
Saldırılar, CrowdStrike tarafından Imperial Kitten adı altında takip ettiği ve Crimson Sandstorm (önceden Curium), TA456, Tortoiseshell ve Yellow Liderc olarak da bilinen bir tehdit aktörüne atfedildi.
Şirketten gelen en son bulgular, Mandiant, ClearSky ve PwC'nin önceki raporlarına dayanıyor ve ikincisi, virüslü sistemlerde IMAPLoader'ın konuşlandırılmasına yol açan stratejik web ihlallerinin (diğer adıyla watering hole saldırıları) örneklerini de ayrıntılı olarak açıklıyor.
CrowdStrike teknik bir raporda, "En az 2017'den beri aktif olan düşman, muhtemelen İran'ın Devrim Muhafızları operasyonlarıyla ilgili stratejik istihbarat gereksinimlerini yerine getiriyor" dedi. "Faaliyeti, özel sunmak için sosyal mühendisliği, özellikle işe alım temalı içeriği kullanmasıyla karakterize edilir. NET tabanlı implantlar."
Saldırı zincirleri, ısmarlama JavaScript kullanarak ziyaretçilerin profilini çıkarmak ve bilgileri saldırgan tarafından kontrol edilen alanlara sızdırmak için başta İsrail ile ilgili olanlar olmak üzere güvenliği ihlal edilmiş web sitelerinden yararlanır.
Sulama deliği saldırılarının yanı sıra, Imperial Kitten'ın bir günlük istismarlardan, çalınan kimlik bilgilerinden, kimlik avından ve hatta ilk erişim için yukarı akış BT hizmet sağlayıcılarını hedeflemeye başvurduğunu gösteren kanıtlar var.
Kimlik avı kampanyaları, enfeksiyon zincirini etkinleştirmek ve daha fazla komut almak için sabit kodlanmış bir IP adresine bağlanan Python tabanlı bir ters kabuk bırakmak için makro bağlantılı Microsoft Excel belgelerinin kullanılmasını içerir.
Dikkate değer sömürü sonrası faaliyetlerden bazıları arasında, PsExec'in açık kaynaklı varyantı olan PAExec ve NetScan'in kullanımı yoluyla yanal hareketin gerçekleştirilmesi ve ardından IMAPLoader ve StandardKeyboard implantlarının teslim edilmesi yer alıyor.
Ayrıca, komut ve kontrol için Discord'u kullanan bir uzaktan erişim truva atı (RAT) da dağıtılırken, hem IMAPLoader hem de StandardKeyboard, görev almak ve yürütme sonuçlarını göndermek için e-posta mesajlarını (yani ekler ve e-posta gövdesi) kullanır.
Siber güvenlik şirketi, "StandardKeyboard'un temel amacı, e-posta gövdesinde alınan Base64 kodlu komutları yürütmektir" dedi. "IMAPLoader'dan farklı olarak, bu kötü amaçlı yazılım, virüslü makinede Klavye Hizmeti adlı bir Windows Hizmeti olarak devam ediyor."
Gelişme, Microsoft'un 7 Ekim 2023'te savaşın başlamasından sonra İranlı gruplara atfedilen kötü niyetli siber faaliyetlerin daha reaktif ve fırsatçı olduğunu belirtmesinin ardından geldi.
Microsoft, "İranlı operatörler, denenmiş ve gerçek taktiklerini kullanmaya devam ediyor, özellikle bilgisayar ağı saldırılarının başarısını abartıyor ve bu iddiaları ve faaliyetleri iyi entegre edilmiş bir bilgi operasyonu dağıtımıyla güçlendiriyor" dedi.
"Bu, esasen, etkilerini artırmak amacıyla fırsatçı saldırıların kötü şöhretini ve etkisini şişirmeye çalışan çevrimiçi propaganda yaratıyor."
Açıklama, Cisco Talos ve SentinelOne'a göre, Arid Viper adlı Hamas bağlantılı bir tehdit aktörünün, Skipped ve Telegram gibi görünen silahlı uygulamalar aracılığıyla SpyC23 olarak bilinen bir Android casus yazılımıyla Arapça konuşanları hedef aldığına dair ifşaatların ardından geldi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı