Een groep met banden met Iran richtte zich in oktober 2023 op de transport-, logistieke en technologiesectoren in het Midden-Oosten, inclusief Israël, te midden van een sterke stijging van de Iraanse cyberactiviteit sinds het begin van de oorlog tussen Israël en Hamas.
De aanvallen zijn door CrowdStrike toegeschreven aan een bedreigingsacteur die het onder de naam volgt Keizerlijk katjeen die ook bekend staat als Crimson Sandstorm (voorheen Curium), TA456, Tortoiseshell en Yellow Liderc.
De nieuwste bevindingen van het bedrijf bouwen voort op eerdere rapporten van Mandiant, ClearSky en PwC, waarvan de laatste ook voorbeelden beschrijft van strategische webcompromissen (ook wel watering hole-aanvallen genoemd) die hebben geleid tot de inzet van IMAPLoader op geïnfecteerde systemen.
“De tegenstander, actief sinds minstens 2017, voldoet waarschijnlijk aan de Iraanse strategische inlichtingenvereisten die verband houden met IRGC-operaties”, aldus CrowdStrike in een technisch rapport. “De activiteit wordt gekenmerkt door het gebruik van social engineering, met name inhoud met een rekruteringsthema, om op maat gemaakte .NET-gebaseerde implantaten te leveren.”
Aanvalsketens maken gebruik van gecompromitteerde websites, voornamelijk websites die verband houden met Israël, om bezoekers te profileren met behulp van op maat gemaakt JavaScript en de informatie te exfiltreren naar door de aanvaller gecontroleerde domeinen.
Naast watering hole-aanvallen zijn er aanwijzingen dat Imperial Kitten zijn toevlucht neemt tot misbruik van eenmalige exploits, gestolen inloggegevens, phishing en zich zelfs richt op upstream IT-serviceproviders voor initiële toegang.
Phishing-campagnes omvatten het gebruik van macro-geregen Microsoft Excel-documenten om de infectieketen te activeren en een op Python gebaseerde reverse shell te plaatsen die verbinding maakt met een hardgecodeerd IP-adres voor het ontvangen van verdere opdrachten.
Enkele van de opmerkelijke post-exploitatieactiviteiten omvatten het bereiken van laterale beweging door het gebruik van PAExec, de open-source variant van PsExec, en NetScan, gevolgd door de levering van de implantaten IMAPLoader en StandardKeyboard.
Er wordt ook een trojan voor externe toegang (RAT) ingezet die Discord gebruikt voor commando- en controle, terwijl zowel IMAPLoader als StandardKeyboard e-mailberichten (dat wil zeggen bijlagen en de hoofdtekst van de e-mail) gebruiken om taken te ontvangen en resultaten van de uitvoering te verzenden.
“Het belangrijkste doel van StandardKeyboard is het uitvoeren van Base64-gecodeerde opdrachten die in de hoofdtekst van de e-mail worden ontvangen”, aldus het cyberbeveiligingsbedrijf. “In tegenstelling tot IMAPLoader blijft deze malware op de geïnfecteerde machine aanwezig als een Windows-service met de naam Keyboard Service.”
De ontwikkeling komt op het moment dat Microsoft opmerkte dat kwaadaardige cyberactiviteiten die na het begin van de oorlog op 7 oktober 2023 aan Iraanse groepen worden toegeschreven, reactiever en opportunistischer zijn.
“Iraanse operators [are] Ze blijven hun beproefde tactieken toepassen, met name door het succes van hun computernetwerkaanvallen te overdrijven en die claims en activiteiten uit te breiden via een goed geïntegreerde inzet van informatieoperaties”, aldus Microsoft.
“Dit creëert in wezen online propaganda die de bekendheid en impact van opportunistische aanvallen wil vergroten, in een poging hun effecten te vergroten.”
De onthulling volgt ook op onthullingen dat een aan Hamas gelieerde bedreigingsacteur genaamd Arid Viper Arabische sprekers heeft aangevallen met een Android-spyware bekend als SpyC23 via bewapende apps die zich voordoen als Skipped en Telegram, volgens Cisco Talos en SentinelOne.
