Um grupo com ligações ao Irã visou os setores de transporte, logística e tecnologia no Oriente Médio, incluindo Israel, em outubro de 2023, em meio a um aumento na atividade cibernética iraniana desde o início da guerra entre Israel-Hamas.
Os ataques foram atribuídos pela CrowdStrike a um agente de ameaça que ela rastreia sob o nome de Imperial Kitten, que também é conhecido como Crimson Sandstorm (anteriormente Curium), TA456, Tortoiseshell e Yellow Liderc.
As descobertas mais recentes da empresa se baseiam em relatórios anteriores da Mandiant, ClearSky e PwC, esta última também detalhou instâncias de comprometimentos estratégicos da web (também conhecido como ataques de watering hole) que levam ao implante do IMAPLoader em sistemas infectados.
"O adversário, ativo desde pelo menos 2017, provavelmente cumpre os requisitos de inteligência estratégica iraniana associados às operações da IRGC", disse a CrowdStrike em um relatório técnico.
"Sua atividade é caracterizada pelo uso de engenharia social, particularmente conteúdo temático de recrutamento de empregos, para entregar implantes personalizados baseados em .NET."
As cadeias de ataque aproveitam sites comprometidos, principalmente aqueles relacionados a Israel, para perfilar visitantes usando JavaScript personalizado e exfiltrar as informações para domínios controlados pelo atacante.
Além dos ataques de watering hole, há evidências que sugerem que o Imperial Kitten recorre à exploração de exploits de one-day, credenciais roubadas, phishing e até mesmo a visar fornecedores de serviços de TI upstream para acesso inicial.
As campanhas de phishing envolvem o uso de documentos do Microsoft Excel com macro para ativar a cadeia de infecção e instalar um trojan Python-based que se conecta a um endereço IP codificado para receber mais comandos.
Entre algumas das atividades notáveis pós-exploração estão o alcance lateral através do uso de PAExec, a variante de código aberto do PsExec, e NetScan, seguido pela entrega dos implantes IMAPLoader e StandardKeyboard.
Também é instalado um cavalo de Tróia de acesso remoto (RAT) que usa o Discord para comando e controle, enquanto ambos, IMAPLoader e StandardKeyboard, usam mensagens de e-mail (ou seja, anexos e corpo de e-mail) para receber tarefas e enviar resultados da execução.
"O objetivo principal do StandardKeyboard é executar comandos codificados em Base64 recebidos no corpo do e-mail", destacou a empresa de cibersegurança.
"Diferentemente do IMAPLoader, esse malware persiste na máquina infectada como um Serviço do Windows chamado Keyboard Service."
O desenvolvimento ocorre enquanto a Microsoft observou que a atividade cibernética maliciosa atribuída a grupos iranianos após o início da guerra em 7 de outubro de 2023, é mais reativa e oportunista.
"Operadores iranianos continuam a empregar suas táticas testadas e verdadeiras, notavelmente exagerando o sucesso de seus ataques à rede de computadores e amplificando essas alegações e atividades por meio de uma implantação bem integrada de operações de informação", disse a Microsoft.
"Isso está essencialmente criando propaganda online buscando inflar a notoriedade e o impacto de ataques oportunistas, na tentativa de aumentar seus efeitos."
A revelação também segue revelações de que um agente de ameaça afiliado ao Hamas chamado Arid Viper tem como alvo falantes de árabe com um spyware Android conhecido como SpyC23 por meio de aplicativos armados se passando por Skipped e Telegram, de acordo com Cisco Talos e SentinelOne.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...