聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该组织又被称为“Tortoiseshell(龟甲)”、“Crimson Sandstorm(绯红色沙尘暴)”和“Yellow Liderc(黄色里德克)”。多年来它都使用网络人设 Marcella Flores。该威胁组织和伊朗武装力量分支“伊斯兰革命卫队 (IRGC)” 有关,且至少活跃于2017年,攻击多种行业组织机构如国防、技术、电信、海事、能源和咨询和专业服务。
CrowdStrike 公司根据与之前攻击活动的基础设施重合之处,所观察到的战术、技术和程序 (TTPs),IMAPLoader 恶意软件的使用,钓鱼诱饵等,将最近发现的这些攻击活动归咎于伊朗黑客组织“帝国猫咪”。
最新攻击活动
研究人员在上周发布报告称,“帝国猫咪”在10月份使用附加恶意 Excel 附件的邮件中的“工作招聘”主题发动钓鱼攻击。
打开该文档时,其中的恶意宏代码提取两个 batch 文件,它们通过注册表修改创造持久性并运行 Python payload 获取反向 shell 访问权限。之后,攻击者使用 PAExec 等工具在网络上横向移动以远程执行进程以及使用 NetScan 进行网络侦查。此外,他们还使用 ProcDump 从系统内存获得凭据。通过自定义恶意软件 IMAPLoader 和 StandardKeyboard 就会实现 C2 服务器,而这两种恶意软件都依赖于邮件进行信息交换。研究人员指出,StandardKeyboard 作为 Windows 服务 Keyboard Service 在受陷机器上保持持久性,并执行来自 C2 的64位编码命令。CrowdStrike 公司证实称2023年10月的攻击活动在以色列-哈马斯冲突发生后攻击以色列组织机构。
此前的攻击活动
在此前的攻击活动中,“帝国猫咪”威胁组织通过 JavaScript 代码攻陷多个以色列网站,执行水坑攻击,而这些代码收集多种访客信息如浏览器数据、IP地址等。
PricewaterhouseCoopers 公司的威胁情报团队指出,这些攻击活动发生在2022年至2023年期间,攻击海事、运输和物流行业,其中一些受害者通过 IMAPLoader 恶意软件引入更多 payload。
在其它案例中,黑客组织直接攻陷网络,如利用公开利用代码、被盗VPN凭据、执行SQL注入或通过目标组织机构的钓鱼邮件等。
CrowdStrike 和 PwC 公司均提供了恶意软件的 IoC 以及攻击活动中所使用的基础设施。
https://www.bleepingcomputer.com/news/security/iranian-hackers-launch-malware-attacks-on-israels-tech-sector/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~