Un grupo con vínculos con Irán atacó los sectores de transporte, logística y tecnología en Medio Oriente, incluido Israel, en octubre de 2023 en medio de un aumento de la actividad cibernética iraní desde el inicio de la guerra entre Israel y Hamas.
CrowdStrike ha atribuido los ataques a un actor de amenazas al que rastrea con el nombre gatito imperialy que también se conoce como Crimson Sandstorm (anteriormente Curium), TA456, Tortoiseshell y Yellow Liderc.
Los últimos hallazgos de la compañía se basan en informes anteriores de Mandiant, ClearSky y PwC, el último de los cuales también detalla casos de compromisos web estratégicos (también conocidos como ataques de abrevadero) que llevaron al despliegue de IMAPLoader en sistemas infectados.
«El adversario, activo desde al menos 2017, probablemente cumple con los requisitos de inteligencia estratégica iraní asociados con las operaciones del IRGC», CrowdStrike dicho en un informe técnico. «Su actividad se caracteriza por el uso de ingeniería social, en particular contenido relacionado con la contratación laboral, para ofrecer implantes personalizados basados en .NET».
Las cadenas de ataques aprovechan los sitios web comprometidos, principalmente aquellos relacionados con Israel, para perfilar a los visitantes utilizando JavaScript personalizado y filtrar la información a dominios controlados por los atacantes.
Además de los ataques de abrevadero, hay evidencia que sugiere que Imperial Kitten recurre a la explotación de exploits de un día, credenciales robadas, phishing e incluso apunta a proveedores de servicios de TI ascendentes para obtener acceso inicial.
Las campañas de phishing implican el uso de documentos de Microsoft Excel con macros para activar la cadena de infección y soltar un shell inverso basado en Python que se conecta a una dirección IP codificada para recibir más comandos.
Entre algunas de las actividades post-explotación notables se encuentra lograr el movimiento lateral mediante el uso de PAExec, la variante de código abierto de PsExec, y NetScan, seguido de la entrega de los implantes IMAPLoader y StandardKeyboard.
También se implementó un troyano de acceso remoto (RAT) que usa Discord para comando y control, mientras que IMAPLoader y StandardKeyboard emplean mensajes de correo electrónico (es decir, archivos adjuntos y cuerpo del correo electrónico) para recibir tareas y enviar resultados de la ejecución.
«El objetivo principal de StandardKeyboard es ejecutar comandos codificados en Base64 recibidos en el cuerpo del correo electrónico», señaló la empresa de ciberseguridad. «A diferencia de IMAPLoader, este malware persiste en la máquina infectada como un servicio de Windows llamado Servicio de teclado».
El desarrollo se produce cuando Microsoft señaló que la actividad cibernética maliciosa atribuida a grupos iraníes después del inicio de la guerra el 7 de octubre de 2023 es más reactiva y oportunista.
«Los operadores iraníes [are] continuar empleando sus tácticas probadas y verdaderas, en particular exagerando el éxito de sus ataques a la red informática y amplificando esas afirmaciones y actividades a través de un despliegue bien integrado de operaciones de información», dijo Microsoft. dicho.
«Esto es esencialmente crear propaganda en línea que busca inflar la notoriedad y el impacto de los ataques oportunistas, en un esfuerzo por aumentar sus efectos».
La divulgación también sigue a las revelaciones de que un actor de amenazas afiliado a Hamas llamado Arid Viper ha atacado a hablantes de árabe con un software espía de Android conocido como SpyC23 a través de aplicaciones armadas disfrazadas de Skipped y Telegram, según Cisco Talos y centinelauno.