Новости Иранский цифровой смерч: Imperial Kitten атакует Ближний Восток

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Зачем группировка преувеличивает последствия своих кибератак?


9mf4i5dsztzu33hd333fbn5to5dhh14a.jpg


В октябре 2023 года, на фоне усиления киберактивности Ирана после начала активной конфронтации между Израилем и Палестиной, произошла серия кибератак на транспортные, логистические и технологические секторы Ближнего Востока, включая Израиль.

Эти атаки, Для просмотра ссылки Войди или Зарегистрируйся компании CrowdStrike , осуществлены группой с иранскими связями, известной как Imperial Kitten. Группа также упоминается под другими наименованиями: Crimson Sandstorm, TA456, Tortoiseshell и Yellow Liderc.

Согласно техническому отчёту CrowdStrike, деятельность этой группы, активной с 2017 года, вероятно, связана с разведывательными операциями IRGC . Основным методом Imperial Kitten является использование социальной инженерии, в частности, применение поддельных предложений о работе для доставки вредоносных .NET -программ.

Атаки группы характеризуются использованием скомпрометированных веб-сайтов, в основном израильских, для профилирования посетителей с помощью специализированного JavaScript -кода. Информация о посетителях перенаправляется на домены, контролируемые злоумышленниками. Кроме того, группа использует уязвимости, кражу учётных данных, фишинг и атаки на IT-поставщиков для первоначального доступа.

В рамках фишинговых кампаний Imperial Kitten применяет документы Microsoft Excel со встроенными макросами для активации заражения и установки Python -оболочки, связанной с определённым IP-адресом. После проникновения в систему злоумышленники используют инструменты PAExec и NetScan для перемещения по сети и доставки вредоносных программ IMAPLoader и StandardKeyboard.

StandardKeyboard функционирует притворяется системной службой Windows под названием «Keyboard Service», выполняя команды, закодированные в Base64 , полученные по электронной почте. Кроме того, в атаках Imperial Kitten также используется троянец удалённого доступа ( RAT ), управляемый через Discord .

Microsoft отмечает, что после начала открытого противостояния между Израилем и Палестиной 7 октября 2023 года иранские кибергруппы резко активизировались. Они используют любую возможность для атаки, а также намеренно преувеличивают успехи своей деятельности, рассказывая о них на социальных платформах, для усиления эффекта.
 
Источник новости
www.securitylab.ru

Похожие темы