伊朗黑客对以色列科技界发动恶意软件攻击

Bleeping Computer 网站披露，伊朗安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、黑客物流和技术公司发起新一轮网络攻击活动 。对色

据悉，列科Imperial Kitten 又名 Tortoiseshell
、技界TA456
、发动Crimson Sandstorm 和 Yellow Liderc ，恶意疑似与伊朗武装部队分支伊斯兰革命卫队（IRGC）关联密切，软件至少自 2017 年以来持续活跃 ，攻击多次对国防 、伊朗技术
、黑客电信、对色海事 、列科能源以及咨询和专业服务等多个领域的技界实体组织，源码下载发动网络攻击
。发动

网络安全公司 CrowdStrike 的研究人员研究了近期的攻击活动，并根据基础设施与过去攻击活动的重叠情况、观察到的战术、技术和程序 (TTP)  、IMAPLoader 恶意软件的使用情况以及网络钓鱼诱饵，进行了归因分析
。

Imperial Kitten 攻击

近期，研究人员在发布的香港云服务器一份报告中指出 ，Imperial Kitten 在 10 月份发起了网络钓鱼攻击活动 。在邮件中使用了 "招聘 "主题，并附带恶意 Microsoft Excel 附件。一旦受害目标打开文档 ，其中的恶意宏代码会提取两个批处理文件
，通过修改注册表创建持久性，并运行 Python 有效载荷进行反向 shell 访问。

然后，网络攻击者就可以使用 PAExec 等工具在网络上横向移动，远程执行进程 ，并使用 NetScan 进行网络侦察。

此外，服务器租用网络攻击这还使用 ProcDump 从系统内存中获取凭证。（指挥和控制（C2）服务器的通信是通过定制的恶意软件 IMAPLoader 和 StandardKeyboard 实现的 ，两者都依赖电子邮件来交换信息。）研究人员表示
，StandardKeyboard 作为 Windows服务键盘服务在受损机器上持续存在，并执行从 C2 接收的base64 编码命令。

CrowdStrike 向 BleepingComputer 证实
，2023 年 10 月 ，主要攻击目标是建站模板以色列境内的实体组织 。

Imperial Kitten 此多次发起网络攻击活动

值得一提的是，此前的网络攻击活动中 ，Imperial Kitten 利用 JavaScript 代码入侵了多个以色列网站 ，非法“收集”访问者的信息（如浏览器数据和 IP 地址），对潜在目标进行剖析 。

普华永道的威胁情报团队指出 ，这些活动发生在 2022 年至 2023 年之间
，源码库威胁攻击者的目标是海事、航运和物流行业，其中一些受害者收到了引入额外有效载荷的 IMAPLoader 恶意软件。Crowdstrike 还发现威胁攻击者直接入侵网络 ，利用公共漏洞代码，使用窃取的 VPN 凭据 ，执行 SQL 注入 ，或通过向目标组织发送钓鱼电子邮件。

参考文章：https://www.bleepingcomputer.com/news/security/iranian-hackers-launch-malware-attacks-on-israels-tech-sector/

很赞哦!（28482）