گروه سایبری ایرانی Imperial Kitten بخشهای فناوری خاورمیانه را هدف قرار میدهد
اخبار داغ فناوری اطلاعات و امنیت شبکه
گروه سایبری مرتبط با ایران بخشهای حملونقل، لجستیک و فناوری را در خاورمیانه، ازجمله اسرائیل، در اکتبر ٢٠٢٣ در بحبوحه افزایش فعالیتهای سایبری ایران از زمان شروع جنگ اسرائیل و حماس هدف قرار دادهاند.
این حملات توسط CrowdStrike به یک عامل تهدیدی نسبت داده شده است که تحت نام Imperial Kitten فعالیت میکند و همچنین با نامهای Crimson Sandstorm (قبلا Curium)، TA456، Tortoiseshell و Yellow Liderc نیز شناخته میشود.
جدیدترین یافتههای این شرکت بر اساس گزارشهای قبلی Mandiant، ClearSky و PwC است، که مورد آخر نیز مواردی از خطرات استراتژیک وب (معروف به حملات watering hole) را که منجر به استقرار IMAPLoader بر روی سیستمهای آلوده شده است، بهتفصیل نشان داد.
مجموعه CrowdStrike در یک گزارش فنی ادعا کرد: "مهاجمان که حداقل از سال ٢٠١٧ فعال هشتند، احتمالا نیازمندیهای اطلاعاتی استراتژیک ایران مرتبط با عملیات سپاه پاسداران انقلاب اسلامی را برآورده میکند. مشخصه فعالیت این گروه، استفاده از مهندسی اجتماعی (Social Engineering)، بهویژه محتوای با موضوع استخدام شغل، برای ارائه ایمپلنتهای سفارشی مبتنی بر دات نت است".
در زنجیرههای حمله از وبسایتهای در معرض خطر، عمدتا آنهایی که به اسرائیل مربوط میشوند، استفاده میشود تا با استفاده از جاوا اسکریپت سفارشی، بازدیدکنندگان را پروفایل کنند و اطلاعات را به دامینهای تحت کنترل مهاجم منتقل کنند.
طبق ادعاها، علاوه بر حملات Watering Hole، شواهدی وجود دارد که نشان میدهد امپریال کیتن به بهرهبرداری از اکسپلویتهای one-day، اعتبارنامههای سرقت شده، فیشینگ و حتی هدف قرار دادن ارائهدهندگان خدمات فناوری اطلاعات بالادستی برای دسترسی اولیه متوسل میشود.
کمپینهای فیشینگ شامل استفاده از ماکروی فایلهای مایکروسافت اکسل برای فعال کردن زنجیره آلودگی و استقرار Reverse Shell مبتنی بر پایتون است که برای دریافت دستورات بیشتر به یک آدرس IP کدگذاری شده متصل میشود.
در میانبرخی از فعالیتهای قابل توجه پس از بهرهبرداری، دستیابی به حرکت جانبی از طریق استفاده از PAExec، نوع متن باز PsExec، و NetScan، و بهدنبال آن استقرار ایمپلنتهای IMAPLoader و StandardKeyboard است.
همچنین یک تروجان دسترسی از راه دور (RAT) مستقر شده است که از Discord برای Command-and-Control استفاده میکند، درحالیکه هر دو IMAPLoader و StandardKeyboard از پیامهای ایمیل (به عنوان مثال، پیوستها و محتوای ایمیل) برای دریافت وظایف و ارسال نتایج اجرای فرمان، استفاده میکنند.
این شرکت امنیت سایبری خاطرنشان کرد: "هدف اصلی StandardKeyboard اجرای دستورات کدگذاری شده با Base64 است که در بدنه ایمیل دریافت میشود. برخلاف IMAPLoader، این بدافزار بر روی دستگاه آلوده بهعنوان یک سرویس ویندوز با نام Keyboard Service باقی میماند".
این توسعه در حالی صورت میگیرد که مایکروسافت در ادعاهایی، فعالیتهای سایبری مخرب منتسب به گروههای ایرانی پس از شروع جنگ حماس و اسرائیل در ٧ اکتبر ٢٠٢٣ را واکنشیتر و فرصتطلبانهتر توصیف کرد.
مایکروسافت گفت: "اپراتورهای ایرانی به استفاده از تاکتیکهای آزمایششده و واقعی خود ادامه داده و به طور ویژه در افزایش موفقیت حملات شبکه رایانهای خود اغراق میکنند. آنها این ادعاها و فعالیتها را از طریق استقرار یکپارچه عملیات اطلاعاتی تقویت میکنند".
این گزارش افزود: "این مسئله اساسا یک تبلیغات آنلاین ایجاد میکند که بهدنبال افزایش بدنامی و تاثیر حملات فرصتطلبانه است تا تاثیرات آنها را افزایش دهد. "
بر اساس ادعاهای مطرحشده در گزارش سیسکو تالوس و سنتینل وان، این افشاگری همچنین بهدنبال افشای افشاگریها مبنی بر اینکه یک عامل تهدید وابسته به حماس به نام Arid Viper، عربیزبانان را با یک نرمافزار جاسوسی اندروید موسوم به SpyC23 از طریق برنامههای مخرب که بهعنوان Skipped و Telegram ظاهر میشوند، هدف قرار داده است".
برچسب ها: PAExec, SpyC23, Skipped, Keyboard Service, StandardKeyboard, امپریال کیتن, Curium, Yellow Liderc, Imperial Kitten, TA456, Crimson Sandstorm, IMAPLoader, Tortoiseshell, Watering hole, netscan, Arid Viper, Spyware, Cyber Warfare, Exploit, IRGC, reverse shell, PsExec, Iran, Social Engineering, مهندسی اجتماعی, RAT, جاسوس افزار, ایران, اکسپلویت, israel, phishing, malware, اسرائیل, Cyber Security, جاسوسی سایبری, فیشینگ, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news