İran’la bağlantısı olan bir grup, İsrail-Hamas savaşının başlangıcından bu yana İran’ın siber faaliyetlerinde yaşanan artışın ortasında, Ekim 2023’te İsrail dahil Orta Doğu’daki ulaştırma, lojistik ve teknoloji sektörlerini hedef aldı.
Saldırılar CrowdStrike tarafından takip edilen bir tehdit aktörüne atfedildi. İmparatorluk KedisiKızıl Kum Fırtınası (önceden Curium), TA456, Kaplumbağa Kabuğu ve Sarı Liderc olarak da bilinir.
Şirketin en son bulguları, Mandiant, ClearSky ve PwC’den gelen önceki raporlara dayanıyor; bunlardan sonuncusu, IMAPLoader’ın virüslü sistemlerde konuşlandırılmasına yol açan stratejik web saldırılarının (diğer bir deyişle sulama deliği saldırıları) ayrıntılı örneklerini de içeriyor.
CrowdStrike, “En az 2017’den beri aktif olan düşman, muhtemelen İran’ın IRGC operasyonlarıyla ilgili stratejik istihbarat gereksinimlerini karşılıyor.” söz konusu teknik bir raporda. “Faaliyeti, özel .NET tabanlı implantlar sunmak için sosyal mühendislik, özellikle işe alım temalı içerik kullanımıyla karakterize ediliyor.”
Saldırı zincirleri, özel JavaScript kullanarak ziyaretçilerin profilini çıkarmak ve bilgileri saldırganın kontrolündeki alanlara sızdırmak için, başta İsrail ile ilgili olanlar olmak üzere, güvenliği ihlal edilmiş web sitelerinden yararlanır.
Su kuyusu saldırılarının yanı sıra, Imperial Kitten’in bir günlük açıklardan yararlanmaya, çalınan kimlik bilgilerine, kimlik avına başvurduğuna ve hatta ilk erişim için yukarı akışlı BT hizmet sağlayıcılarını hedef aldığına dair kanıtlar var.
Kimlik avı kampanyaları, enfeksiyon zincirini etkinleştirmek ve daha fazla komut almak için sabit kodlanmış bir IP adresine bağlanan Python tabanlı bir ters kabuk bırakmak için makro bağlantılı Microsoft Excel belgelerinin kullanılmasını içerir.
Kullanım sonrası dikkate değer faaliyetlerden bazıları arasında, PsExec’in açık kaynaklı çeşidi olan PAExec ve NetScan’in kullanımı yoluyla yanal hareketin sağlanması ve ardından IMAPLoader ve StandardKeyboard implantlarının teslim edilmesi yer alıyor.
Ayrıca, komuta ve kontrol için Discord’u kullanan bir uzaktan erişim truva atı (RAT) da dağıtılırken, hem IMAPLoader hem de StandardKeyboard, görevleri almak ve yürütmenin sonuçlarını göndermek için e-posta mesajlarını (yani ekler ve e-posta gövdesi) kullanır.
Siber güvenlik şirketi, “StandardKeyboard’un ana amacı, e-posta gövdesinde alınan Base64 kodlu komutları yürütmektir” dedi. “IMAPLoader’dan farklı olarak bu kötü amaçlı yazılım, etkilenen makinede Klavye Hizmeti adlı bir Windows Hizmeti olarak varlığını sürdürüyor.”
Bu gelişme, Microsoft’un, savaşın 7 Ekim 2023’te başlamasının ardından İranlı gruplara atfedilen kötü amaçlı siber faaliyetlerin daha reaktif ve fırsatçı olduğunu belirtmesiyle ortaya çıktı.
“İranlı operatörler [are] Özellikle bilgisayar ağı saldırılarının başarısını abartarak ve bu iddiaları ve faaliyetleri iyi entegre edilmiş bilgi operasyonları dağıtımı yoluyla güçlendirerek denenmiş ve doğrulanmış taktiklerini kullanmaya devam ediyorlar.” söz konusu.
“Bu aslında fırsatçı saldırıların etkisini artırmak amacıyla kötü şöhretini ve etkisini artırmaya çalışan çevrimiçi propaganda yaratmaktır.”
Cisco Talos’a göre bu açıklama aynı zamanda Hamas’a bağlı bir tehdit aktörü olan Arid Viper’ın SpyC23 olarak bilinen bir Android casus yazılımıyla Skipped ve Telegram gibi görünen silahlı uygulamalar aracılığıyla Arapça konuşanları hedef aldığının ortaya çıkmasının ardından geldi. SentinelOne.