Peretas Iran Melancarkan Serangan Malware ke Sektor Teknologi Israel
- www.pixabay.com/typographyimages
VIVA – Peneliti keamanan telah melacak kampanye baru dari Imperial Kitten yang menargetkan perusahaan transportasi, logistik, dan teknologi.
Imperial Kitten juga dikenal sebagai Tortoiseshell, TA456, Crimson Sandstorm, dan Yellow Liderc, dan selama beberapa tahun menggunakan persona online Marcella Flores.
Ini adalah aktor ancaman yang terkait dengan Korps Garda Revolusi Islam (IRGC), salah satu cabang Angkatan Bersenjata Iran, dan telah aktif setidaknya sejak tahun 2017 melakukan serangan siber terhadap organisasi di berbagai sektor, termasuk pertahanan, teknologi, telekomunikasi, maritim, energi, dan jasa konsultasi dan profesional.
Serangan baru-baru ini ditemukan oleh para peneliti di perusahaan keamanan siber CrowdStrike, yang membuat atribusi berdasarkan infrastruktur yang tumpang tindih dengan kampanye sebelumnya, pengamatan taktik, teknik, dan prosedur (TTP), penggunaan malware IMAPLoader, dan umpan phishing.
Serangan Imperial Kitten
Dilansir dari bleepingcomputer, Selasa, 14 November 2023, dalam laporan yang diterbitkan awal pekan ini, para peneliti mengatakan bahwa Imperial Kitten meluncurkan serangan phishing pada bulan Oktober menggunakan tema 'rekrutmen pekerjaan' dalam email yang membawa lampiran Microsoft Excel yang berbahaya.
Saat membuka dokumen, kode makro berbahaya di dalamnya mengekstrak dua file batch yang menciptakan persistensi melalui modifikasi registri dan menjalankan muatan Python untuk akses shell terbalik.
Penyerang kemudian bergerak ke samping di jaringan menggunakan alat seperti PAExec untuk menjalankan proses dari jarak jauh dan NetScan untuk pengintaian jaringan. Selain itu, mereka menggunakan ProcDump untuk mendapatkan kredensial dari memori sistem.
Komunikasi dengan server perintah dan kontrol (C2) dicapai menggunakan IMAPLoader malware khusus dan StandardKeyboard, keduanya mengandalkan email untuk bertukar informasi.
Para peneliti mengatakan bahwa StandardKeyboard tetap ada pada mesin yang disusupi sebagai Layanan Keyboard, Layanan Windows dan menjalankan perintah berkode base64 yang diterima dari C2.
CrowdStrike mengonfirmasi kepada BleepingComputer bahwa serangan Oktober 2023 menargetkan organisasi Israel setelah konflik Israel-Hamas.
Kampanye sebelumnya
Dalam aktivitas sebelumnya, Imperial Kitten melakukan serangan watering hole dengan menyusupi beberapa situs web Israel dengan kode JavaScript yang mengumpulkan informasi tentang pengunjung, seperti data browser dan alamat IP, serta membuat profil target potensial.
Tim Threat Intelligence di PricewaterhouseCoopers (PwC) mengatakan bahwa kampanye ini terjadi antara tahun 2022 dan 2023 dan menargetkan sektor maritim, pelayaran, dan logistik, beberapa korbannya menerima malware IMAPLoader yang memperkenalkan muatan tambahan.
Dalam kasus lain, Crowdstrike telah melihat para peretas menerobos jaringan secara langsung, memanfaatkan kode eksploitasi publik, menggunakan kredensial VPN yang dicuri, melakukan injeksi SQL, atau melalui email phishing yang dikirim ke organisasi target.
CrowdStrike dan PwC [1, 2] memberikan indikator kompromi (IoC) untuk malware dan infrastruktur musuh yang digunakan dalam serangan yang diamati.