伊朗黑客利用恶意软件攻击以色列技术行业

该组织又被称为“Tortoiseshell（龟甲）”、“Crimson Sandstorm（绯红色沙尘暴）”和“Yellow Liderc（黄色里德克）”。多年来它都使用网络人设 Marcella Flores。该威胁组织和伊朗武装力量分支“伊斯兰革命卫队 (IRGC)” 有关，且至少活跃于2017年，攻击多种行业组织机构如国防、技术、电信、海事、能源和咨询和专业服务。

CrowdStrike 公司根据与之前攻击活动的基础设施重合之处，所观察到的战术、技术和程序 (TTPs)，IMAPLoader 恶意软件的使用，钓鱼诱饵等，将最近发现的这些攻击活动归咎于伊朗黑客组织“帝国猫咪”。

研究人员在上周发布报告称，“帝国猫咪”在10月份使用附加恶意 Excel 附件的邮件中的“工作招聘”主题发动钓鱼攻击。

打开该文档时，其中的恶意宏代码提取两个 batch 文件，它们通过注册表修改创造持久性并运行 Python payload 获取反向 shell 访问权限。之后，攻击者使用 PAExec 等工具在网络上横向移动以远程执行进程以及使用 NetScan 进行网络侦查。此外，他们还使用 ProcDump 从系统内存获得凭据。通过自定义恶意软件 IMAPLoader 和 StandardKeyboard 就会实现 C2 服务器，而这两种恶意软件都依赖于邮件进行信息交换。研究人员指出，StandardKeyboard 作为 Windows 服务 Keyboard Service 在受陷机器上保持持久性，并执行来自 C2 的64位编码命令。CrowdStrike 公司证实称2023年10月的攻击活动在以色列-哈马斯冲突发生后攻击以色列组织机构。

在此前的攻击活动中，“帝国猫咪”威胁组织通过 JavaScript 代码攻陷多个以色列网站，执行水坑攻击，而这些代码收集多种访客信息如浏览器数据、IP地址等。

PricewaterhouseCoopers 公司的威胁情报团队指出，这些攻击活动发生在2022年至2023年期间，攻击海事、运输和物流行业，其中一些受害者通过 IMAPLoader 恶意软件引入更多 payload。

在其它案例中，黑客组织直接攻陷网络，如利用公开利用代码、被盗VPN凭据、执行SQL注入或通过目标组织机构的钓鱼邮件等。

CrowdStrike 和 PwC 公司均提供了恶意软件的 IoC 以及攻击活动中所使用的基础设施。