Tin tặc Iran phát động các cuộc tấn công phần mềm độc hại vào lĩnh vực công nghệ của Israel

Imperial Kitten còn được gọi là Tortoiseshell, TA456, Crimson Sandstorm và Yellow Liderc, và đã sử dụng nhân vật trực tuyến Marcella Flores trong vài năm để lừa đảo.

Imperial Kitten là một tác nhân đe dọa có liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC), một chi nhánh của Lực lượng Vũ trang Iran đã hoạt động ít nhất từ năm 2017, thực hiện các cuộc tấn công mạng nhằm vào các tổ chức trong nhiều lĩnh vực khác nhau, bao gồm quốc phòng, công nghệ, viễn thông, hàng hải, năng lượng, tư vấn và các dịch vụ chuyên nghiệp.

Các cuộc tấn công gần đây được phát hiện bởi các nhà nghiên cứu tại công ty an ninh mạng CrowdStrike. Họ đã đưa ra nhận định dựa trên sự trùng lặp về cơ sở hạ tầng với các chiến dịch trước đây, các chiến thuật, kỹ thuật và quy trình (TTP) được quan sát, việc sử dụng phần mềm độc hại IMAPLoader, nhử mồi lừa đảo.

Cuộc tấn công của Imperial Kitten

Trong một báo cáo được công bố đầu tuần trước, các nhà nghiên cứu cho biết Imperial Kitten đã phát động các cuộc tấn công lừa đảo vào tháng 10 bằng cách sử dụng chủ đề ‘tuyển dụng việc làm’ trong các email có tệp đính kèm Microsoft Excel độc hại.

Khi mở tài liệu, mã macro độc hại bên trong sẽ trích xuất hai tệp tạo ra tính bền vững thông qua sửa đổi sổ đăng ký và chạy payload Python để truy cập shell ngược.

Sau đó, kẻ tấn công di chuyển ngang trong mạng bằng cách sử dụng các công cụ như PAExec để thực thi các quy trình từ xa và NetScan để trinh sát mạng. Ngoài ra, chúng còn sử dụng ProcDump để lấy thông tin xác thực từ bộ nhớ hệ thống.

Việc giao tiếp với máy chủ chỉ huy và kiểm soát (C2) được thực hiện bằng cách sử dụng phần mềm độc hại tùy chỉnh IMAPLoader và StandardKeyboard, cả hai đều dựa vào email để trao đổi thông tin.

Các nhà nghiên cứu cho biết StandardKeyboard vẫn tồn tại trên máy bị xâm nhập dưới dạng Dịch vụ Bàn phím Dịch vụ Windows và thực thi các lệnh được mã hóa base64 nhận được từ C2.

CrowdStrike xác nhận với BleepingComputer rằng các cuộc tấn công vào tháng 10 năm 2023 nhắm vào các tổ chức của Israel sau cuộc xung đột Israel-Hamas.

Các chiến dịch trước đây

Trong hoạt động trước đó, Imperial Kitten đã thực hiện các cuộc tấn công Watering Hole bằng cách xâm phạm một số trang web của Israel bằng mã JavaScript nhằm thu thập thông tin về khách truy cập, chẳng hạn như dữ liệu trình duyệt và địa chỉ IP, lập hồ sơ các mục tiêu tiềm năng.

Nhóm Thông tin về mối đe dọa tại PricewaterhouseCoopers (PwC) cho biết các chiến dịch này diễn ra từ năm 2022 đến năm 2023 và nhắm mục tiêu vào các lĩnh vực hàng hải, vận chuyển và hậu cần, một số nạn nhân nhận được phần mềm độc hại IMAPLoader kèm theo payload bổ sung.

Trong các trường hợp khác, Crowdstrike đã chứng kiến tin tặc xâm nhập mạng trực tiếp, tận dụng mã khai thác công khai, sử dụng thông tin xác thực VPN bị đánh cắp, thực hiện chèn SQL hoặc thông qua email lừa đảo được gửi đến tổ chức mục tiêu.

Cả CrowdStrike và PwC [1, 2] đều cung cấp các chỉ báo về sự xâm phạm (IoC) đối với phần mềm độc hại và cơ sở hạ tầng của đối thủ được sử dụng trong các cuộc tấn công được quan sát.

Nguồn: bleepingcomputer.com