Yapılan bir soruşturma, İran’la bağlantısı olan bir grubun son iki yıldır İsrail’in ulaşım, lojistik ve teknoloji sektörlerine yönelik su kuyusu saldırıları düzenlediğini ortaya çıkardı.
Buna göre CrowdStrike’ın araştırması Bugün açıklanan siber casusluk saldırıları, daha önce İsrail denizcilik alanındaki kuruluşları hedef alan “Imperial Kitten” (diğer adıyla Yellow Liderc, Tortoiseshell, TA456 ve Crimson Sandstorm) adlı devlet destekli gelişmiş kalıcı tehdit (APT) tarafından gerçekleştirildi. ulaşım ve teknoloji sektörleri. Grubun İran’ın İslam Devrim Muhafızları Teşkilatıyla bağlantısı olduğundan şüpheleniliyor.
sulama deliği saldırıları CrowdStrike’ın “stratejik web ihlali” olarak adlandırdığı, Imperial Kitten’ın web sitesi ziyaretçilerini kişisel bilgileri ve kimlik bilgilerini çalan saldırgan kontrolündeki konumlara yönlendirmek için meşru sitelere sızdığı durumu içeriyor. Veriler daha sonra sabit kodlanmış bir alana gönderilir ve takip eden saldırılar için kullanılır. Güvenliği ihlal edilen web siteleri çoğunlukla İsrailliydi.
Imperial Kitten, stratejik Web güvenliği yoluyla veri sızdırma amacıyla BT hizmet sağlayıcıları gibi belirli kurbanları hedef alıyor. Ancak, benBazı durumlarda, saldırgan kurbanlara doğrudan kötü amaçlı yazılım gönderiyor ve aşağıdakileri içeren e-posta kampanyaları düzenliyor: Kampanyanın bir diğer parçası olarak kimlik avı saldırılarında kötü amaçlı Microsoft Excel belgeleri kullanıldı.
İkinci durumda, grup, hedeflerine erişim sağlamak için tarama araçlarını, çalınan VPN kimlik bilgilerini ve güvenlik açıklarından yararlanıyor, ardından yanal hareket için PAExec yardımcı programını kullanıyor ve son olarak veri sızdırma için özel ve açık kaynaklı kötü amaçlı yazılımlardan yararlanıyor.