伊朗黑客对以色列科技界发动恶意软件攻击

安全
安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、物流和技术公司发起新一轮网络攻击活动。

Bleeping Computer 网站披露,安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、物流和技术公司发起新一轮网络攻击活动。

据悉,Imperial Kitten 又名 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc,疑似与伊朗武装部队分支伊斯兰革命卫队(IRGC)关联密切,至少自 2017 年以来持续活跃,多次对国防、技术、电信、海事、能源以及咨询和专业服务等多个领域的实体组织,发动网络攻击。

网络安全公司 CrowdStrike 的研究人员研究了近期的攻击活动,并根据基础设施与过去攻击活动的重叠情况、观察到的战术、技术和程序 (TTP)、IMAPLoader 恶意软件的使用情况以及网络钓鱼诱饵,进行了归因分析。

Imperial Kitten 攻击

近期,研究人员在发布的一份报告中指出,Imperial Kitten 在 10 月份发起了网络钓鱼攻击活动。在邮件中使用了 "招聘 "主题,并附带恶意 Microsoft Excel 附件。一旦受害目标打开文档,其中的恶意宏代码会提取两个批处理文件,通过修改注册表创建持久性,并运行 Python 有效载荷进行反向 shell 访问。

然后,网络攻击者就可以使用 PAExec 等工具在网络上横向移动,远程执行进程,并使用 NetScan 进行网络侦察。

此外,网络攻击这还使用 ProcDump 从系统内存中获取凭证。(指挥和控制(C2)服务器的通信是通过定制的恶意软件 IMAPLoader 和 StandardKeyboard 实现的,两者都依赖电子邮件来交换信息。)研究人员表示,StandardKeyboard 作为 Windows服务键盘服务在受损机器上持续存在,并执行从 C2 接收的base64 编码命令。

CrowdStrike 向 BleepingComputer 证实,2023 年 10 月,主要攻击目标是以色列境内的实体组织。

Imperial Kitten 此多次发起网络攻击活动

值得一提的是,此前的网络攻击活动中,Imperial Kitten 利用 JavaScript 代码入侵了多个以色列网站,非法“收集”访问者的信息(如浏览器数据和 IP 地址),对潜在目标进行剖析。

普华永道的威胁情报团队指出,这些活动发生在 2022 年至 2023 年之间,威胁攻击者的目标是海事、航运和物流行业,其中一些受害者收到了引入额外有效载荷的 IMAPLoader 恶意软件。Crowdstrike 还发现威胁攻击者直接入侵网络,利用公共漏洞代码,使用窃取的 VPN 凭据,执行 SQL 注入,或通过向目标组织发送钓鱼电子邮件。

参考文章:https://www.bleepingcomputer.com/news/security/iranian-hackers-launch-malware-attacks-on-israels-tech-sector/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2024-05-23 15:13:06

2020-12-08 18:35:56

黑客攻击网络安全

2020-12-22 10:50:01

黑客勒索软件攻击

2024-01-18 17:43:47

2024-11-14 15:00:13

2020-08-14 16:36:13

网络安全黑客技术

2022-05-05 09:04:33

恶意软件黑客

2015-05-28 11:13:50

2016-02-22 10:56:25

2015-04-02 11:41:27

2022-06-26 13:53:37

网络攻击OpsPatuk

2023-01-06 09:20:35

2009-01-04 09:57:24

2023-11-13 11:31:53

2021-08-19 15:43:39

供应链攻击黑客网络攻击

2011-10-06 15:05:58

乔布斯苹果

2021-02-26 09:45:48

恶意软件黑客网络攻击

2012-06-20 09:44:56

2013-01-05 09:52:03

2021-10-25 11:45:47

恶意软件AndroidTangleBot
点赞
收藏

51CTO技术栈公众号