İran Bağlantılı Imperial Kitten Siber Grubu Orta Doğu'nun Teknoloji Sektörlerini Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri

İran Bağlantılı Imperial Kitten Siber Grubu Orta Doğu'nun Teknoloji Sektörlerini Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri

Şirketin en son bulguları, Mandiant, ClearSky ve PwC’den gelen önceki raporlara dayanıyor; bunlardan sonuncusu, IMAPLoader’ın virüslü sistemlerde konuşlandırılmasına yol açan stratejik web saldırılarının (diğer bir deyişle sulama deliği saldırıları) ayrıntılı örneklerini de içeriyor SentinelOne

Kimlik avı kampanyaları, enfeksiyon zincirini etkinleştirmek ve daha fazla komut almak için sabit kodlanmış bir IP adresine bağlanan Python tabanlı bir ters kabuk bırakmak için makro bağlantılı Microsoft Excel belgelerinin kullanılmasını içerir

Saldırılar CrowdStrike tarafından takip edilen bir tehdit aktörüne atfedildi

Kullanım sonrası dikkate değer faaliyetlerden bazıları arasında, PsExec’in açık kaynaklı çeşidi olan PAExec ve NetScan’in kullanımı yoluyla yanal hareketin sağlanması ve ardından IMAPLoader ve StandardKeyboard implantlarının teslim edilmesi yer alıyor

Siber güvenlik şirketi, “StandardKeyboard’un ana amacı, e-posta gövdesinde alınan Base64 kodlu komutları yürütmektir” dedi ”

Saldırı zincirleri, özel JavaScript kullanarak ziyaretçilerin profilini çıkarmak ve bilgileri saldırganın kontrolündeki alanlara sızdırmak için, başta İsrail ile ilgili olanlar olmak üzere, güvenliği ihlal edilmiş web sitelerinden yararlanır

Ayrıca, komuta ve kontrol için Discord’u kullanan bir uzaktan erişim truva atı (RAT) da dağıtılırken, hem IMAPLoader hem de StandardKeyboard, görevleri almak ve yürütmenin sonuçlarını göndermek için e-posta mesajlarını (yani ekler ve e-posta gövdesi) kullanır ” söz konusu teknik bir raporda “Faaliyeti, özel ”

Bu gelişme, Microsoft’un, savaşın 7 Ekim 2023’te başlamasının ardından İranlı gruplara atfedilen kötü amaçlı siber faaliyetlerin daha reaktif ve fırsatçı olduğunu belirtmesiyle ortaya çıktı



siber-2

NET tabanlı implantlar sunmak için sosyal mühendislik, özellikle işe alım temalı içerik kullanımıyla karakterize ediliyor

“İranlı operatörler [are] Özellikle bilgisayar ağı saldırılarının başarısını abartarak ve bu iddiaları ve faaliyetleri iyi entegre edilmiş bilgi operasyonları dağıtımı yoluyla güçlendirerek denenmiş ve doğrulanmış taktiklerini kullanmaya devam ediyorlar ” söz konusu

“Bu aslında fırsatçı saldırıların etkisini artırmak amacıyla kötü şöhretini ve etkisini artırmaya çalışan çevrimiçi propaganda yaratmaktır

CrowdStrike, “En az 2017’den beri aktif olan düşman, muhtemelen İran’ın IRGC operasyonlarıyla ilgili stratejik istihbarat gereksinimlerini karşılıyor “IMAPLoader’dan farklı olarak bu kötü amaçlı yazılım, etkilenen makinede Klavye Hizmeti adlı bir Windows Hizmeti olarak varlığını sürdürüyor İmparatorluk KedisiKızıl Kum Fırtınası (önceden Curium), TA456, Kaplumbağa Kabuğu ve Sarı Liderc olarak da bilinir ”

Cisco Talos’a göre bu açıklama aynı zamanda Hamas’a bağlı bir tehdit aktörü olan Arid Viper’ın SpyC23 olarak bilinen bir Android casus yazılımıyla Skipped ve Telegram gibi görünen silahlı uygulamalar aracılığıyla Arapça konuşanları hedef aldığının ortaya çıkmasının ardından geldi


10 Kasım 2023Haber odasıSiber Saldırı / Siber Tehdit

İran’la bağlantısı olan bir grup, İsrail-Hamas savaşının başlangıcından bu yana İran’ın siber faaliyetlerinde yaşanan artışın ortasında, Ekim 2023’te İsrail dahil Orta Doğu’daki ulaştırma, lojistik ve teknoloji sektörlerini hedef aldı

Su kuyusu saldırılarının yanı sıra, Imperial Kitten’in bir günlük açıklardan yararlanmaya, çalınan kimlik bilgilerine, kimlik avına başvurduğuna ve hatta ilk erişim için yukarı akışlı BT hizmet sağlayıcılarını hedef aldığına dair kanıtlar var