Bleeping Computer 網(wǎng)站披露，安全研究人員追蹤到 Imperial Kitten 黑客組織針對(duì)以色列運(yùn)輸、物流和技術(shù)公司發(fā)起新一輪網(wǎng)絡(luò)攻擊活動(dòng)。

據(jù)悉，Imperial Kitten 又名 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc，疑似與伊朗武裝部隊(duì)分支伊斯蘭革命衛(wèi)隊(duì)（IRGC）關(guān)聯(lián)密切，至少自 2017 年以來(lái)持續(xù)活躍，多次對(duì)國(guó)防、技術(shù)、電信、海事、能源以及咨詢和專業(yè)服務(wù)等多個(gè)領(lǐng)域的實(shí)體組織，發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)安全公司 CrowdStrike 的研究人員研究了近期的攻擊活動(dòng)，并根據(jù)基礎(chǔ)設(shè)施與過(guò)去攻擊活動(dòng)的重疊情況、觀察到的戰(zhàn)術(shù)、技術(shù)和程序 (TTP)、IMAPLoader 惡意軟件的使用情況以及網(wǎng)絡(luò)釣魚(yú)誘餌，進(jìn)行了歸因分析。

Imperial Kitten 攻擊

近期，研究人員在發(fā)布的一份報(bào)告中指出，Imperial Kitten 在 10 月份發(fā)起了網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)。在郵件中使用了 "招聘 "主題，并附帶惡意 Microsoft Excel 附件。一旦受害目標(biāo)打開(kāi)文檔，其中的惡意宏代碼會(huì)提取兩個(gè)批處理文件，通過(guò)修改注冊(cè)表創(chuàng)建持久性，并運(yùn)行 Python 有效載荷進(jìn)行反向 shell 訪問(wèn)。

然后，網(wǎng)絡(luò)攻擊者就可以使用 PAExec 等工具在網(wǎng)絡(luò)上橫向移動(dòng)，遠(yuǎn)程執(zhí)行進(jìn)程，并使用 NetScan 進(jìn)行網(wǎng)絡(luò)偵察。

此外，網(wǎng)絡(luò)攻擊這還使用 ProcDump 從系統(tǒng)內(nèi)存中獲取憑證。（指揮和控制（C2）服務(wù)器的通信是通過(guò)定制的惡意軟件 IMAPLoader 和 StandardKeyboard 實(shí)現(xiàn)的，兩者都依賴電子郵件來(lái)交換信息。）研究人員表示，StandardKeyboard 作為 Windows服務(wù)鍵盤(pán)服務(wù)在受損機(jī)器上持續(xù)存在，并執(zhí)行從 C2 接收的base64 編碼命令。

CrowdStrike 向 BleepingComputer 證實(shí)，2023 年 10 月，主要攻擊目標(biāo)是以色列境內(nèi)的實(shí)體組織。

Imperial Kitten 此多次發(fā)起網(wǎng)絡(luò)攻擊活動(dòng)

值得一提的是，此前的網(wǎng)絡(luò)攻擊活動(dòng)中，Imperial Kitten 利用 JavaScript 代碼入侵了多個(gè)以色列網(wǎng)站，非法“收集”訪問(wèn)者的信息（如瀏覽器數(shù)據(jù)和 IP 地址），對(duì)潛在目標(biāo)進(jìn)行剖析。

普華永道的威脅情報(bào)團(tuán)隊(duì)指出，這些活動(dòng)發(fā)生在 2022 年至 2023 年之間，威脅攻擊者的目標(biāo)是海事、航運(yùn)和物流行業(yè)，其中一些受害者收到了引入額外有效載荷的 IMAPLoader 惡意軟件。Crowdstrike 還發(fā)現(xiàn)威脅攻擊者直接入侵網(wǎng)絡(luò)，利用公共漏洞代碼，使用竊取的 VPN 憑據(jù)，執(zhí)行 SQL 注入，或通過(guò)向目標(biāo)組織發(fā)送釣魚(yú)電子郵件。

參考文章：https://www.bleepingcomputer.com/news/security/iranian-hackers-launch-malware-attacks-on-israels-tech-sector/