Το Imperial Kitten Πραγματοποιεί Κυβερνοεπιθέσεις
Το Imperial Kitten, γνωστό επίσης ως Tortoiseshell, TA456, Crimson Sandstorm και Yellow Liderc, αποτελεί μια ομάδα απειλών που συσχετίζεται με το “Σώμα των Επαναστατικών Φρουρών” του Ιράν (IRGC), μια υποκατηγορία των Ενόπλων Δυνάμεων του Ιράν.
Η ομάδα δρα τουλάχιστον από το 2017 και πραγματοποιεί κυβερνοεπιθέσεις σε διάφορους τομείς, όπως η τεχνολογία, οι τηλεπικοινωνίες, η ναυτιλία, η ενέργεια, καθώς και οι συμβουλευτικές και επαγγελματικές υπηρεσίες.
Πρόσφατα, ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια νέα εκστρατεία από το Imperial Kitten που στοχεύει εταιρείες μεταφορών, λογιστικών και τεχνολογίας. Οι επιθέσεις, που παρατηρήθηκαν τον Οκτώβριο του 2023, πραγματοποιήθηκαν με phishing emails με θέμα την ‘πρόσληψη προσωπικού’, φέροντας ένα κακόβουλο συνημμένο αρχείο Microsoft Excel. Μόλις ανοίχτηκε το έγγραφο, ο κακόβουλος κώδικας εξήγαγε δύο αρχεία εκτέλεσης που τροποποίησαν το μητρώο και εκτέλεσαν Python payloads.
Το Imperial Kitten χρησιμοποίησε εργαλεία όπως το PAExec για απομακρυσμένη εκτέλεση διεργασιών, το NetScan για αναγνώριση δικτύου και το ProcDump για τη λήψη διαπιστευτηρίων από τη μνήμη του συστήματος. Η επικοινωνία με τον διακομιστή ελέγχου (C2) πραγματοποιήθηκε μέσω προσαρμοσμένου κακόβουλου λογισμικού, το οποίο περιλάμβανε τα IMAPLoader και StandardKeyboard. Αυτά τα λογισμικά εξαρτώνταν από το email για την ανταλλαγή πληροφοριών. Το StandardKeyboard παραμένει εγκατεστημένο στο μηχάνημα που έχει παραβιαστεί ως το Windows Service Keyboard Service, εκτελώντας κωδικούς εντολών που λαμβάνονται από το C2.
Οι επιθέσεις του Οκτωβρίου 2023 στόχευαν, όπως αποκαλύφθηκε, ισραηλινούς οργανισμούς μετά τη σύγκρουση Ισραήλ-Χαμάς.
