Иранский цифровой смерч: Imperial Kitten атакует Ближний Восток

В октябре 2023 года, на фоне усиления киберактивности Ирана после начала активной конфронтации между Израилем и Палестиной, произошла серия кибератак на транспортные, логистические и технологические секторы Ближнего Востока, включая Израиль.

Эти атаки, по данным компании CrowdStrike, осуществлены группой с иранскими связями, известной как Imperial Kitten. Группа также упоминается под другими наименованиями: Crimson Sandstorm, TA456, Tortoiseshell и Yellow Liderc.

Согласно техническому отчёту CrowdStrike, деятельность этой группы, активной с 2017 года, вероятно, связана с разведывательными операциями IRGC. Основным методом Imperial Kitten является использование социальной инженерии, в частности, применение поддельных предложений о работе для доставки вредоносных .NET-программ.

Атаки группы характеризуются использованием скомпрометированных веб-сайтов, в основном израильских, для профилирования посетителей с помощью специализированного JavaScript-кода. Информация о посетителях перенаправляется на домены, контролируемые злоумышленниками. Кроме того, группа использует уязвимости, кражу учётных данных, фишинг и атаки на IT-поставщиков для первоначального доступа.

В рамках фишинговых кампаний Imperial Kitten применяет документы Microsoft Excel со встроенными макросами для активации заражения и установки Python-оболочки, связанной с определённым IP-адресом. После проникновения в систему злоумышленники используют инструменты PAExec и NetScan для перемещения по сети и доставки вредоносных программ IMAPLoader и StandardKeyboard.

StandardKeyboard функционирует притворяется системной службой Windows под названием «Keyboard Service», выполняя команды, закодированные в Base64, полученные по электронной почте. Кроме того, в атаках Imperial Kitten также используется троянец удалённого доступа (RAT), управляемый через Discord.

Microsoft отмечает, что после начала открытого противостояния между Израилем и Палестиной 7 октября 2023 года иранские кибергруппы резко активизировались. Они используют любую возможность для атаки, а также намеренно преувеличивают успехи своей деятельности, рассказывая о них на социальных платформах, для усиления эффекта.