伊朗黑客对以色列科技行业发起恶意软件攻击

最近，安全研究人员发现了一场由“Imperial Kitten”发起的新攻击活动，目标是运输、物流和科技公司。

“Imperial Kitten”又被称为“Tortoiseshell”、“TA456”、“Crimson Sandstorm”和“Yellow Liderc”，多年来一直使用“Marcella Flores”这个在线身份。

这个威胁行为者与伊朗伊斯兰革命卫队（IRGC）有关，该组织是伊朗武装部队的一个分支，自2017年以来一直活跃在各个领域的组织中，包括国防、科技、电信、海运、能源、咨询和专业服务等。

最近的攻击是由网络安全公司CrowdStrike的研究人员发现的，他们通过过去的攻击活动的基础设施重叠、观察到的战术、技术和程序（TTPs）、IMAPLoader恶意软件的使用以及钓鱼诱饵等因素进行了归因。

研究人员在本周早些时候发布的一份报告中称，“Imperial Kitten”在去年十月发起了钓鱼攻击，使用“职位招聘”为主题的电子邮件携带着恶意的微软Excel附件。

当打开文档时，其中的恶意宏代码会提取两个批处理文件，通过注册表修改和运行Python负载来实现持久性和反向shell访问。

攻击者随后使用PAExec等工具在网络上进行横向移动，远程执行进程，并使用NetScan进行网络侦察。此外，他们还使用ProcDump从系统内存中获取凭据。

与命令和控制（C2）服务器的通信是通过自定义恶意软件IMAPLoader和StandardKeyboard实现的，两者都依赖于电子邮件来交换信息。

研究人员表示，StandardKeyboard以Windows服务键盘服务的形式持久存在于被感染的机器上，并执行从C2接收到的base64编码命令。

CrowdStrike向BleepingComputer证实，2023年十月的攻击针对的是以色列组织，这是在以色列与哈马斯冲突后发生的。

在之前的活动中，“Imperial Kitten”通过入侵多个以色列网站并植入JavaScript代码来进行渗透，该代码收集访问者的信息，例如浏览器数据和IP地址，以便对潜在目标进行分析。

普华永道（PwC）的威胁情报团队表示，这些攻击活动发生在2022年和2023年之间，针对的是海事、航运和物流行业，一些受害者收到了引入其他恶意软件的IMAPLoader恶意软件。

在其他情况下，CrowdStrike发现黑客直接入侵网络，利用公开的漏洞代码、盗用VPN凭据、进行SQL注入或通过发送针对目标组织的钓鱼邮件来进行攻击。

CrowdStrike和PwC [1, 2]提供了有关恶意软件和观察到的攻击所使用的对手基础设施的指标。

以上是关于伊朗黑客对以色列科技行业发起恶意软件攻击的最新报道。请大家保持警惕，加强网络安全防护，确保个人和组织的信息安全。