Bleeping Computer 網站披露，安全研究人員追蹤到 Imperial Kitten 黑客組織針對以色列運輸、物流和技術公司發(fā)起新一輪網絡攻擊活動。

據悉，Imperial Kitten 又名 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc，疑似與伊朗武裝部隊分支伊斯蘭革命衛(wèi)隊（IRGC）關聯密切，至少自 2017 年以來持續(xù)活躍，多次對國防、技術、電信、海事、能源以及咨詢和專業(yè)服務等多個領域的實體組織，發(fā)動網絡攻擊。

網絡安全公司 CrowdStrike 的研究人員研究了近期的攻擊活動，并根據基礎設施與過去攻擊活動的重疊情況、觀察到的戰(zhàn)術、技術和程序 (TTP)、IMAPLoader 惡意軟件的使用情況以及網絡釣魚誘餌，進行了歸因分析。

Imperial Kitten 攻擊

近期，研究人員在發(fā)布的一份報告中指出，Imperial Kitten 在 10 月份發(fā)起了網絡釣魚攻擊活動。在郵件中使用了 "招聘 "主題，并附帶惡意 Microsoft Excel 附件。一旦受害目標打開文檔，其中的惡意宏代碼會提取兩個批處理文件，通過修改注冊表創(chuàng)建持久性，并運行 Python 有效載荷進行反向 shell 訪問。

然后，網絡攻擊者就可以使用 PAExec 等工具在網絡上橫向移動，遠程執(zhí)行進程，并使用 NetScan 進行網絡偵察。

此外，網絡攻擊這還使用 ProcDump 從系統(tǒng)內存中獲取憑證。（指揮和控制（C2）服務器的通信是通過定制的惡意軟件 IMAPLoader 和 StandardKeyboard 實現的，兩者都依賴電子郵件來交換信息。）研究人員表示，StandardKeyboard 作為 Windows服務鍵盤服務在受損機器上持續(xù)存在，并執(zhí)行從 C2 接收的base64 編碼命令。

CrowdStrike 向 BleepingComputer 證實，2023 年 10 月，主要攻擊目標是以色列境內的實體組織。

Imperial Kitten 此多次發(fā)起網絡攻擊活動

值得一提的是，此前的網絡攻擊活動中，Imperial Kitten 利用 JavaScript 代碼入侵了多個以色列網站，非法“收集”訪問者的信息（如瀏覽器數據和 IP 地址），對潛在目標進行剖析。

普華永道的威脅情報團隊指出，這些活動發(fā)生在 2022 年至 2023 年之間，威脅攻擊者的目標是海事、航運和物流行業(yè)，其中一些受害者收到了引入額外有效載荷的 IMAPLoader 惡意軟件。Crowdstrike 還發(fā)現威脅攻擊者直接入侵網絡，利用公共漏洞代碼，使用竊取的 VPN 憑據，執(zhí)行 SQL 注入，或通過向目標組織發(fā)送釣魚電子郵件。

參考文章：https://www.bleepingcomputer.com/news/security/iranian-hackers-launch-malware-attacks-on-israels-tech-sector/