Les chercheurs en sécurité ont suivi une nouvelle campagne d’Imperial Kitten ciblant les entreprises de transport, de logistique et de technologie.
Imperial Kitten est également connu sous les noms de Tortoiseshell, TA456, Crimson Sandstorm et Yellow Liderc, et a utilisé pendant plusieurs années le personnage en ligne Marcella Flores.
Il s’agit d’un acteur menaçant lié au Corps des Gardiens de la révolution islamique (CGRI), une branche des forces armées iraniennes, et mène des cyberattaques actives depuis au moins 2017 contre des organisations de divers secteurs, notamment la défense, la technologie, les télécommunications, le maritime, l’énergie, ainsi que les services de conseil et professionnels.
Les récentes attaques ont été découvertes par des chercheurs de la société de cybersécurité CrowdStrike, qui ont attribué leur attribution sur la base de chevauchements d’infrastructures avec des campagnes passées, de tactiques, techniques et procédures (TTP) observées, de l’utilisation du logiciel malveillant IMAPLoader et de leurres de phishing.
Attaques de chaton impérial
Dans un rapport Publié plus tôt cette semaine, des chercheurs affirment qu’Imperial Kitten a lancé des attaques de phishing en octobre en utilisant le thème du « recrutement » dans des e-mails contenant une pièce jointe Microsoft Excel malveillante.
Lors de l’ouverture du document, le code de macro malveillant qu’il contient extrait deux fichiers de commandes qui créent une persistance grâce aux modifications du registre et exécutent des charges utiles Python pour un accès inverse au shell.
L’attaquant se déplace ensuite latéralement sur le réseau à l’aide d’outils tels que PAExec pour exécuter des processus à distance et NetScan pour la reconnaissance du réseau. De plus, ils utilisent ProcDump pour obtenir les informations d’identification de la mémoire système.
La communication avec le serveur de commande et de contrôle (C2) est réalisée à l’aide des logiciels malveillants personnalisés IMAPLoader et StandardKeyboard, tous deux s’appuyant sur le courrier électronique pour échanger des informations.
Les chercheurs affirment que StandardKeyboard persiste sur la machine compromise en tant que service Windows. Service de clavier et exécute les commandes codées en base64 reçues du C2.
CrowdStrike a confirmé pour BleepingComputer que les attaques d’octobre 2023 visaient des organisations israéliennes à la suite du conflit Israël-Hamas.
Campagnes passées
Lors d’une activité précédente, Imperial Kitten a mené des attaques de point d’eau en compromettant plusieurs sites Web israéliens avec du code JavaScript qui collectait des informations sur les visiteurs, telles que les données du navigateur et l’adresse IP, profilant ainsi des cibles potentielles.
L’équipe Threat Intelligence de PricewaterhouseCoopers (PwC) dit que ces campagnes se sont déroulées entre 2022 et 2023 et ciblaient les secteurs maritime, maritime et logistique, certaines des victimes ayant reçu le malware IMAPLoader qui a introduit des charges utiles supplémentaires.
Dans d’autres cas, Crowdstrike a vu des pirates pirater directement les réseaux, en exploitant un code d’exploitation public, en utilisant des informations d’identification VPN volées, en effectuant une injection SQL ou via des e-mails de phishing envoyés à l’organisation cible.
CrowdStrike et PwC [1, 2] fournir des indicateurs de compromission (IoC) pour les logiciels malveillants et l’infrastructure de l’adversaire utilisée dans les attaques observées.