Un groupe ayant des liens avec l’Iran a ciblé les secteurs du transport, de la logistique et de la technologie au Moyen-Orient, y compris en Israël, en octobre 2023, dans un contexte de recrudescence de la cyberactivité iranienne depuis le début de la guerre entre Israël et le Hamas.
Les attaques ont été attribuées par CrowdStrike à un acteur menaçant qu’il suit sous le nom de Chaton Impérialet qui est également connu sous le nom de Crimson Sandstorm (anciennement Curium), TA456, Tortoiseshell et Yellow Liderc.
Les dernières découvertes de la société s’appuient sur des rapports antérieurs de Mandiant, ClearSky et PwC, ce dernier détaillant également des cas de compromission stratégique du Web (c’est-à-dire des attaques de point d’eau) conduisant au déploiement d’IMAPLoader sur des systèmes infectés.
« L’adversaire, actif depuis au moins 2017, répond probablement aux besoins iraniens en matière de renseignement stratégique associés aux opérations du CGRI », a déclaré CrowdStrike. dit dans un rapport technique. « Son activité se caractérise par son utilisation de l’ingénierie sociale, en particulier du contenu sur le thème du recrutement, pour fournir des implants personnalisés basés sur .NET. »
Les chaînes d’attaque exploitent les sites Web compromis, principalement ceux liés à Israël, pour profiler les visiteurs à l’aide de JavaScript sur mesure et exfiltrer les informations vers des domaines contrôlés par les attaquants.
Outre les attaques de points d’eau, il existe des preuves suggérant qu’Imperial Kitten a recours à l’exploitation d’exploits d’un jour, aux informations d’identification volées, au phishing et même au ciblage des fournisseurs de services informatiques en amont pour un accès initial.
Les campagnes de phishing impliquent l’utilisation de documents Microsoft Excel contenant des macros pour activer la chaîne d’infection et supprimer un shell inversé basé sur Python qui se connecte à une adresse IP codée en dur pour recevoir d’autres commandes.
Parmi certaines des activités post-exploitation notables figurent la réalisation d’un mouvement latéral grâce à l’utilisation de PAExec, la variante open source de PsExec, et de NetScan, suivie de la livraison des implants IMAPLoader et StandardKeyboard.
Un cheval de Troie d’accès à distance (RAT) est également déployé qui utilise Discord pour la commande et le contrôle, tandis que IMAPLoader et StandardKeyboard utilisent des messages électroniques (c’est-à-dire des pièces jointes et le corps de l’e-mail) pour recevoir des tâches et envoyer les résultats de l’exécution.
« L’objectif principal de StandardKeyboard est d’exécuter les commandes codées en Base64 reçues dans le corps de l’e-mail », a souligné la société de cybersécurité. « Contrairement à IMAPLoader, ce malware persiste sur la machine infectée en tant que service Windows nommé Keyboard Service. »
Cette évolution intervient alors que Microsoft a souligné que les cyberactivités malveillantes attribuées à des groupes iraniens après le début de la guerre le 7 octobre 2023 étaient plus réactives et opportunistes.
« Les opérateurs iraniens [are] continuant à employer leurs tactiques éprouvées, notamment en exagérant le succès de leurs attaques sur les réseaux informatiques et en amplifiant ces affirmations et activités via un déploiement bien intégré d’opérations d’information, » Microsoft dit.
« Il s’agit essentiellement de créer une propagande en ligne cherchant à gonfler la notoriété et l’impact des attaques opportunistes, dans le but d’en accroître les effets. »
La divulgation fait également suite à des révélations selon lesquelles un acteur menaçant affilié au Hamas nommé Arid Viper aurait ciblé des arabophones avec un logiciel espion Android connu sous le nom de SpyC23 via des applications armées se faisant passer pour Skipped et Telegram, selon Cisco Talos et SentinelleOne.