Зачем группировка преувеличивает последствия своих кибератак?
В октябре 2023 года, на фоне усиления киберактивности Ирана после начала активной конфронтации между Израилем и Палестиной, произошла серия кибератак на транспортные, логистические и технологические секторы Ближнего Востока, включая Израиль.
Эти атаки, Для просмотра ссылки Войдиили Зарегистрируйся компании CrowdStrike , осуществлены группой с иранскими связями, известной как Imperial Kitten. Группа также упоминается под другими наименованиями: Crimson Sandstorm, TA456, Tortoiseshell и Yellow Liderc.
Согласно техническому отчёту CrowdStrike, деятельность этой группы, активной с 2017 года, вероятно, связана с разведывательными операциями IRGC . Основным методом Imperial Kitten является использование социальной инженерии, в частности, применение поддельных предложений о работе для доставки вредоносных .NET -программ.
Атаки группы характеризуются использованием скомпрометированных веб-сайтов, в основном израильских, для профилирования посетителей с помощью специализированного JavaScript -кода. Информация о посетителях перенаправляется на домены, контролируемые злоумышленниками. Кроме того, группа использует уязвимости, кражу учётных данных, фишинг и атаки на IT-поставщиков для первоначального доступа.
В рамках фишинговых кампаний Imperial Kitten применяет документы Microsoft Excel со встроенными макросами для активации заражения и установки Python -оболочки, связанной с определённым IP-адресом. После проникновения в систему злоумышленники используют инструменты PAExec и NetScan для перемещения по сети и доставки вредоносных программ IMAPLoader и StandardKeyboard.
StandardKeyboard функционирует притворяется системной службой Windows под названием «Keyboard Service», выполняя команды, закодированные в Base64 , полученные по электронной почте. Кроме того, в атаках Imperial Kitten также используется троянец удалённого доступа ( RAT ), управляемый через Discord .
Microsoft отмечает, что после начала открытого противостояния между Израилем и Палестиной 7 октября 2023 года иранские кибергруппы резко активизировались. Они используют любую возможность для атаки, а также намеренно преувеличивают успехи своей деятельности, рассказывая о них на социальных платформах, для усиления эффекта.
В октябре 2023 года, на фоне усиления киберактивности Ирана после начала активной конфронтации между Израилем и Палестиной, произошла серия кибератак на транспортные, логистические и технологические секторы Ближнего Востока, включая Израиль.
Эти атаки, Для просмотра ссылки Войди
Согласно техническому отчёту CrowdStrike, деятельность этой группы, активной с 2017 года, вероятно, связана с разведывательными операциями IRGC . Основным методом Imperial Kitten является использование социальной инженерии, в частности, применение поддельных предложений о работе для доставки вредоносных .NET -программ.
Атаки группы характеризуются использованием скомпрометированных веб-сайтов, в основном израильских, для профилирования посетителей с помощью специализированного JavaScript -кода. Информация о посетителях перенаправляется на домены, контролируемые злоумышленниками. Кроме того, группа использует уязвимости, кражу учётных данных, фишинг и атаки на IT-поставщиков для первоначального доступа.
В рамках фишинговых кампаний Imperial Kitten применяет документы Microsoft Excel со встроенными макросами для активации заражения и установки Python -оболочки, связанной с определённым IP-адресом. После проникновения в систему злоумышленники используют инструменты PAExec и NetScan для перемещения по сети и доставки вредоносных программ IMAPLoader и StandardKeyboard.
StandardKeyboard функционирует притворяется системной службой Windows под названием «Keyboard Service», выполняя команды, закодированные в Base64 , полученные по электронной почте. Кроме того, в атаках Imperial Kitten также используется троянец удалённого доступа ( RAT ), управляемый через Discord .
Microsoft отмечает, что после начала открытого противостояния между Израилем и Палестиной 7 октября 2023 года иранские кибергруппы резко активизировались. Они используют любую возможность для атаки, а также намеренно преувеличивают успехи своей деятельности, рассказывая о них на социальных платформах, для усиления эффекта.
- Источник новости
- www.securitylab.ru