Grup Siber Imperial Kitten Jaringan Iran Targetkan Sektor Teknologi Timur Israel

The Hacker News

Cyberthreat.id - Grup Siber Imperial Kitten yang berjejaring dengan Iran menargetkan sektor transportasi, logistik, dan teknologi di Timur Tengah, termasuk Israel, pada Oktober 2023. Ini terjadi di tengah lonjakan aktivitas siber Iran sejak dimulainya perang Israel-Hamas.

The Hacker News menyebutkan, serangan tersebut telah dikaitkan oleh CrowdStrike dengan aktor ancaman yang dilacaknya dengan nama Imperial Kitten, dan yang juga dikenal sebagai Crimson Sandstorm (sebelumnya Curium), TA456, Tortoiseshell, dan Yellow Liderc.

Temuan terbaru dari perusahaan ini didasarkan pada laporan sebelumnya dari Mandiant, ClearSky, dan PwC, yang terakhir juga merinci contoh-contoh penyusupan web strategis (alias serangan watering hole) yang mengarah pada penerapan IMAPLoader pada sistem yang terinfeksi.

“Hacker, yang aktif setidaknya sejak tahun 2017, kemungkinan memenuhi persyaratan intelijen strategis Iran yang terkait dengan operasi IRGC,” kata CrowdStrike dalam laporan teknisnya sebagaimana dikutip The Hacker News.

“Aktivitasnya ditandai dengan penggunaan rekayasa sosial, khususnya konten bertema rekrutmen pekerjaan, untuk mengirimkan implan khusus berbasis .NET.”

Rantai penyerang memanfaatkan situs web yang disusupi, terutama yang terkait dengan Israel, untuk membuat profil pengunjung menggunakan JavaScript khusus dan menyaring informasi tersebut ke domain yang dikendalikan penyerang.

Selain serangan watering hole, ada bukti yang menunjukkan bahwa Imperial Kitten melakukan eksploitasi eksploitasi satu hari, pencurian kredensial, phishing, dan bahkan menargetkan penyedia layanan TI hulu untuk akses awal.

Kampanye phishing melibatkan penggunaan dokumen Microsoft Excel yang dilengkapi makro untuk mengaktifkan rantai infeksi dan melepaskan shell terbalik berbasis Python yang terhubung ke alamat IP yang dikodekan untuk menerima perintah lebih lanjut.

Di antara beberapa aktivitas pasca-eksploitasi yang penting adalah pencapaian pergerakan lateral melalui penggunaan PAExec, varian sumber terbuka dari PsExec, dan NetScan, diikuti dengan pengiriman implan IMAPLoader dan StandardKeyboard.

Juga dikerahkan adalah trojan akses jarak jauh (RAT) yang menggunakan Discord untuk perintah dan kontrol, sementara IMAPLoader dan StandardKeyboard menggunakan pesan email (yaitu lampiran dan isi email) untuk menerima tugas dan mengirimkan hasil eksekusi.

“Tujuan utama StandardKeyboard adalah untuk menjalankan perintah berkode Base64 yang diterima di badan email,” perusahaan keamanan siber tersebut menunjukkan kepada The Hacker News.

Berbeda dengan IMAPLoader, malware ini tetap ada di mesin yang terinfeksi sebagai Layanan Windows bernama Layanan Keyboard.

Perkembangan ini terjadi ketika Microsoft menggambarkan aktivitas siber berbahaya yang dikaitkan dengan kelompok-kelompok Iran setelah dimulainya perang pada 7 Oktober 2023, sebagai aktivitas yang lebih reaktif dan oportunistik.

Menurut Cisco Talos dan SentinelOne, pengungkapan itu juga mengikuti pengungkapan bahwa aktor ancaman yang berafiliasi dengan Hamas bernama Arid Viper telah menargetkan penutur bahasa Arab dengan spyware Android yang dikenal sebagai SpyC23 melalui aplikasi bersenjata yang menyamar sebagai Skiped dan, menurut Cisco Talos dan SentinelOne.[]