İran Bağlantılı Imperial Kitten Siber Grubu Orta Doğu'nun Teknoloji Sektörlerini Hedef Alıyor

Saldırılar, CrowdStrike tarafından Imperial Kitten adı altında takip ettiği ve Crimson Sandstorm (önceden Curium), TA456, Tortoiseshell ve Yellow Liderc olarak da bilinen bir tehdit aktörüne atfedildi.

Şirketten gelen en son bulgular, Mandiant, ClearSky ve PwC'nin önceki raporlarına dayanıyor ve ikincisi, virüslü sistemlerde IMAPLoader'ın konuşlandırılmasına yol açan stratejik web ihlallerinin (diğer adıyla watering hole saldırıları) örneklerini de ayrıntılı olarak açıklıyor.

CrowdStrike teknik bir raporda, "En az 2017'den beri aktif olan düşman, muhtemelen İran'ın Devrim Muhafızları operasyonlarıyla ilgili stratejik istihbarat gereksinimlerini yerine getiriyor" dedi. "Faaliyeti, özel sunmak için sosyal mühendisliği, özellikle işe alım temalı içeriği kullanmasıyla karakterize edilir. NET tabanlı implantlar."

Saldırı zincirleri, ısmarlama JavaScript kullanarak ziyaretçilerin profilini çıkarmak ve bilgileri saldırgan tarafından kontrol edilen alanlara sızdırmak için başta İsrail ile ilgili olanlar olmak üzere güvenliği ihlal edilmiş web sitelerinden yararlanır.

Sulama deliği saldırılarının yanı sıra, Imperial Kitten'ın bir günlük istismarlardan, çalınan kimlik bilgilerinden, kimlik avından ve hatta ilk erişim için yukarı akış BT hizmet sağlayıcılarını hedeflemeye başvurduğunu gösteren kanıtlar var.

Kimlik avı kampanyaları, enfeksiyon zincirini etkinleştirmek ve daha fazla komut almak için sabit kodlanmış bir IP adresine bağlanan Python tabanlı bir ters kabuk bırakmak için makro bağlantılı Microsoft Excel belgelerinin kullanılmasını içerir.

Dikkate değer sömürü sonrası faaliyetlerden bazıları arasında, PsExec'in açık kaynaklı varyantı olan PAExec ve NetScan'in kullanımı yoluyla yanal hareketin gerçekleştirilmesi ve ardından IMAPLoader ve StandardKeyboard implantlarının teslim edilmesi yer alıyor.

Ayrıca, komut ve kontrol için Discord'u kullanan bir uzaktan erişim truva atı (RAT) da dağıtılırken, hem IMAPLoader hem de StandardKeyboard, görev almak ve yürütme sonuçlarını göndermek için e-posta mesajlarını (yani ekler ve e-posta gövdesi) kullanır.

Siber güvenlik şirketi, "StandardKeyboard'un temel amacı, e-posta gövdesinde alınan Base64 kodlu komutları yürütmektir" dedi. "IMAPLoader'dan farklı olarak, bu kötü amaçlı yazılım, virüslü makinede Klavye Hizmeti adlı bir Windows Hizmeti olarak devam ediyor."

Gelişme, Microsoft'un 7 Ekim 2023'te savaşın başlamasından sonra İranlı gruplara atfedilen kötü niyetli siber faaliyetlerin daha reaktif ve fırsatçı olduğunu belirtmesinin ardından geldi.

Microsoft, "İranlı operatörler, denenmiş ve gerçek taktiklerini kullanmaya devam ediyor, özellikle bilgisayar ağı saldırılarının başarısını abartıyor ve bu iddiaları ve faaliyetleri iyi entegre edilmiş bir bilgi operasyonu dağıtımıyla güçlendiriyor" dedi.

"Bu, esasen, etkilerini artırmak amacıyla fırsatçı saldırıların kötü şöhretini ve etkisini şişirmeye çalışan çevrimiçi propaganda yaratıyor."

Açıklama, Cisco Talos ve SentinelOne'a göre, Arid Viper adlı Hamas bağlantılı bir tehdit aktörünün, Skipped ve Telegram gibi görünen silahlı uygulamalar aracılığıyla SpyC23 olarak bilinen bir Android casus yazılımıyla Arapça konuşanları hedef aldığına dair ifşaatların ardından geldi.

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği