Ciberseguridad 360 | Hackers Iraníes desatan tormenta de Malware en Sector Tecnológico de Israel

Los investigadores de seguridad han rastreado una nueva campa�a de Imperial Kitten dirigida a empresas de transporte, log�stica y tecnolog�a.

Imperial Kitten, tambi�n conocido como Tortoiseshell, TA456, Crimson Sandstorm y Yellow Liderc, ha utilizado la identidad en l�nea de Marcella Flores durante varios a�os.

Es un actor de amenazas vinculado al Cuerpo de la Guardia Revolucionaria Isl�mica (IRGC), una rama de las Fuerzas Armadas iran�es, y ha estado activo desde al menos 2017, llevando a cabo ciberataques contra organizaciones en diversos sectores, incluidos defensa, tecnolog�a, telecomunicaciones, mar�timo, energ�a, consultor�a y servicios profesionales.

Los ataques recientes fueron descubiertos por investigadores de la empresa de ciberseguridad CrowdStrike, quienes realizaron la atribuci�n en funci�n de la superposici�n de infraestructura con campa�as pasadas, t�cticas, t�cnicas y procedimientos (TTP), el uso del malware IMAPLoader y se�uelos de phishing.

Ataques de Imperial Kitten

En un informe publicado a principios de la semana pasada, los investigadores indican que Imperial Kitten lanz� ataques de phishing en octubre utilizando un tema de 'reclutamiento laboral' en correos electr�nicos con un archivo malicioso de Microsoft Excel.

Al abrir el documento, el c�digo de macro malicioso extrae dos archivos por lotes que crean persistencia mediante modificaciones en el registro y ejecutan cargas �tiles de Python para el acceso de shell inverso.

Luego, el atacante se mueve lateralmente en la red utilizando herramientas como PAExec para ejecutar procesos de forma remota y NetScan para la exploraci�n de la red. Adem�s, utilizan ProcDump para obtener credenciales de la memoria del sistema.

La comunicaci�n con el servidor de comando y control (C2) se logra mediante el malware personalizado IMAPLoader y StandardKeyboard, ambos dependiendo del correo electr�nico para intercambiar informaci�n.

Los investigadores se�alan que StandardKeyboard persiste en la m�quina comprometida como el servicio de Windows "Keyboard Service" y ejecuta comandos codificados en base64 recibidos del C2.

CrowdStrike confirm� que los ataques de octubre de 2023 se dirigieron a organizaciones israel�es tras el conflicto entre Israel y Hamas.

Campa�as anteriores

En actividades anteriores, Imperial Kitten llev� a cabo ataques de "pozo de agua" comprometiendo varios sitios web israel�es con c�digo JavaScript que recopilaba informaci�n sobre visitantes, como datos del navegador y la direcci�n IP, perfilando posibles objetivos.

El equipo de Inteligencia de Amenazas en PricewaterhouseCoopers (PwC) afirma que estas campa�as ocurrieron entre 2022 y 2023, apuntando a los sectores mar�timo, de env�os y log�stica, con algunas v�ctimas recibiendo el malware IMAPLoader que introdujo cargas �tiles adicionales.

En otros casos, CrowdStrike ha observado a los piratas inform�ticos violando redes directamente, aprovechando c�digos de exploits p�blicos, utilizando credenciales VPN robadas, realizando inyecciones SQL o a trav�s de correos electr�nicos de phishing enviados a la organizaci�n objetivo.

Tanto CrowdStrike como PwC proporcionan indicadores de compromiso (IoCs) para el malware y la infraestructura del adversario utilizada en los ataques observados.

Fuente: bleepingcomputer.com