İran Bağlantılı Imperial Kitten Siber Grubu Orta Doğu'nun Teknoloji Sektörlerini Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri

İran Bağlantılı Imperial Kitten Siber Grubu Orta Doğu'nun Teknoloji Sektörlerini Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri
İmparatorluk KedisiKızıl Kum Fırtınası (önceden Curium), TA456, Kaplumbağa Kabuğu ve Sarı Liderc olarak da bilinir

Şirketin en son bulguları, Mandiant, ClearSky ve PwC’den gelen önceki raporlara dayanıyor; bunlardan sonuncusu, IMAPLoader’ın virüslü sistemlerde konuşlandırılmasına yol açan stratejik web saldırılarının (diğer bir deyişle sulama deliği saldırıları) ayrıntılı örneklerini de içeriyor “Faaliyeti, özel

Saldırılar CrowdStrike tarafından takip edilen bir tehdit aktörüne atfedildi

Su kuyusu saldırılarının yanı sıra, Imperial Kitten’in bir günlük açıklardan yararlanmaya, çalınan kimlik bilgilerine, kimlik avına başvurduğuna ve hatta ilk erişim için yukarı akışlı BT hizmet sağlayıcılarını hedef aldığına dair kanıtlar var

CrowdStrike, “En az 2017’den beri aktif olan düşman, muhtemelen İran’ın IRGC operasyonlarıyla ilgili stratejik istihbarat gereksinimlerini karşılıyor SentinelOne



siber-2

” söz konusu teknik bir raporda

Ayrıca, komuta ve kontrol için Discord’u kullanan bir uzaktan erişim truva atı (RAT) da dağıtılırken, hem IMAPLoader hem de StandardKeyboard, görevleri almak ve yürütmenin sonuçlarını göndermek için e-posta mesajlarını (yani ekler ve e-posta gövdesi) kullanır ”

Cisco Talos’a göre bu açıklama aynı zamanda Hamas’a bağlı bir tehdit aktörü olan Arid Viper’ın SpyC23 olarak bilinen bir Android casus yazılımıyla Skipped ve Telegram gibi görünen silahlı uygulamalar aracılığıyla Arapça konuşanları hedef aldığının ortaya çıkmasının ardından geldi ”

Bu gelişme, Microsoft’un, savaşın 7 Ekim 2023’te başlamasının ardından İranlı gruplara atfedilen kötü amaçlı siber faaliyetlerin daha reaktif ve fırsatçı olduğunu belirtmesiyle ortaya çıktı ” söz konusu

Kullanım sonrası dikkate değer faaliyetlerden bazıları arasında, PsExec’in açık kaynaklı çeşidi olan PAExec ve NetScan’in kullanımı yoluyla yanal hareketin sağlanması ve ardından IMAPLoader ve StandardKeyboard implantlarının teslim edilmesi yer alıyor

Kimlik avı kampanyaları, enfeksiyon zincirini etkinleştirmek ve daha fazla komut almak için sabit kodlanmış bir IP adresine bağlanan Python tabanlı bir ters kabuk bırakmak için makro bağlantılı Microsoft Excel belgelerinin kullanılmasını içerir “IMAPLoader’dan farklı olarak bu kötü amaçlı yazılım, etkilenen makinede Klavye Hizmeti adlı bir Windows Hizmeti olarak varlığını sürdürüyor

“Bu aslında fırsatçı saldırıların etkisini artırmak amacıyla kötü şöhretini ve etkisini artırmaya çalışan çevrimiçi propaganda yaratmaktır

Siber güvenlik şirketi, “StandardKeyboard’un ana amacı, e-posta gövdesinde alınan Base64 kodlu komutları yürütmektir” dedi NET tabanlı implantlar sunmak için sosyal mühendislik, özellikle işe alım temalı içerik kullanımıyla karakterize ediliyor


10 Kasım 2023Haber odasıSiber Saldırı / Siber Tehdit

İran’la bağlantısı olan bir grup, İsrail-Hamas savaşının başlangıcından bu yana İran’ın siber faaliyetlerinde yaşanan artışın ortasında, Ekim 2023’te İsrail dahil Orta Doğu’daki ulaştırma, lojistik ve teknoloji sektörlerini hedef aldı ”

Saldırı zincirleri, özel JavaScript kullanarak ziyaretçilerin profilini çıkarmak ve bilgileri saldırganın kontrolündeki alanlara sızdırmak için, başta İsrail ile ilgili olanlar olmak üzere, güvenliği ihlal edilmiş web sitelerinden yararlanır

“İranlı operatörler [are] Özellikle bilgisayar ağı saldırılarının başarısını abartarak ve bu iddiaları ve faaliyetleri iyi entegre edilmiş bilgi operasyonları dağıtımı yoluyla güçlendirerek denenmiş ve doğrulanmış taktiklerini kullanmaya devam ediyorlar