安全研究人员追踪了 Imperial Kitten 针对运输、物流和技术公司的一项新活动。
Imperial Kitten 也被称为 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc,多年来它一直使用在线角色 Marcella Flores。
它是与伊朗武装部队分支伊斯兰革命卫队 (IRGC) 有联系的威胁行为者,至少自 2017 年以来一直活跃对各个领域的组织进行网络攻击,包括国防、技术、电信、海事、能源、咨询和专业服务。
最近的攻击是由网络安全公司 CrowdStrike 的研究人员发现的,他们根据基础设施与过去活动的重叠、观察到的策略、技术和程序 (TTP)、IMAPLoader 恶意软件的使用以及网络钓鱼诱饵进行了归因。
帝国小猫攻击
在本周早些时候发布的一份报告中,研究人员表示,Imperial Kitten 在 10 月份发起了网络钓鱼攻击,其电子邮件中包含恶意 Microsoft Excel 附件,使用“工作招聘”主题。
打开文档时,其中的恶意宏代码会提取两个批处理文件,这些文件通过注册表修改创建持久性,并运行 Python 有效负载以进行反向 shell 访问。
然后,攻击者使用 PAExec 等工具在网络上横向移动以远程执行进程,并使用 NetScan 进行网络侦察。此外,他们还使用 ProcDump 从系统内存中获取凭据。
与命令和控制 (C2) 服务器的通信是使用自定义恶意软件 IMAPLoader 和 StandardKeyboard 实现的,两者都依赖电子邮件来交换信息。
研究人员表示,StandardKeyboard 作为 Windows 服务键盘服务持续存在于受感染的计算机上 ,并执行从 C2 接收到的 Base64 编码命令。
CrowdStrike 向 BleepingComputer 证实,以色列与哈马斯冲突后,2023 年 10 月的袭击针对的是以色列组织。
过去的活动
在之前的活动中,Imperial Kitten 通过使用 JavaScript 代码破坏多个以色列网站来进行水坑攻击,这些代码收集有关访问者的信息,例如浏览器数据和 IP 地址,从而分析潜在目标。
普华永道 (PwC) 的威胁情报团队表示,这些活动发生在 2022 年至 2023 年之间,目标是海事、航运和物流行业,部分受害者收到了引入额外有效负载的 IMAPLoader 恶意软件。
在其他情况下,Crowdstrike 发现黑客直接破坏网络、利用公共漏洞代码、使用窃取的 VPN 凭据、执行 SQL 注入或通过发送到目标组织的网络钓鱼电子邮件。
CrowdStrike 和 PwC [ 1 , 2 ] 都提供了恶意软件和观察到的攻击中使用的对手基础设施的危害指标 (IoC)。
发表评论
您还未登录,请先登录。
登录