링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

이란 해커, 이스라엘 기술 부문에 악성코드 공격 개시

보안 연구원들이 운송, 물류, 기술 기업을 표적으로 삼는 Imperial Kitten의 새로운 캠페인을 추적했습니다.

Imperial Kitten은 Tortoiseshell, TA456, Crimson Sandstorm 및 Yellow Liderc로도 알려져 있으며 몇 년 동안 온라인 페르소나 Marcella Flores를 사용했습니다.

이란군의 산하 이슬람혁명수비대(IRGC)와 연계된 위협 행위자로, 최소 2017년부터 국방, 기술, 통신, 해양, 해양 등 다양한 분야의 조직을 대상으로 사이버 공격을 감행해 왔다. 에너지, 컨설팅 및 전문 서비스.

최근 공격은 이전 캠페인, 관찰된 전술, 기법 및 절차(TTP), IMAPLoader 악성 코드 사용, 피싱 미끼와 인프라 중복을 기반으로 한 사이버 보안 회사 CrowdStrike의 연구원에 의해 발견되었습니다.

임페리얼 새끼 고양이 공격

이번 주 초 발표된 보고서에서 연구원들은 Imperial Kitten이 지난 10월 악성 Microsoft Excel 첨부 파일이 포함된 이메일에서 ‘구직’ 주제를 사용하여 피싱 공격을 시작했다고 밝혔습니다.

문서를 열면 내부의 악성 매크로 코드가 레지스트리 수정을 통해 지속성을 생성하고 역방향 셸 액세스를 위해 Python 페이로드를 실행하는 두 개의 배치 파일을 추출합니다.

그런 다음 공격자는 PAExec과 같은 도구를 사용하여 원격으로 프로세스를 실행하고 NetScan을 사용하여 네트워크 정찰을 위해 네트워크에서 측면으로 이동합니다. 또한 ProcDump를 사용하여 시스템 메모리에서 자격 증명을 얻습니다.

명령 및 제어(C2) 서버와의 통신은 사용자 정의 악성코드 IMAPLoader 및 StandardKeyboard를 사용하여 이루어지며, 둘 다 이메일을 사용하여 정보를 교환합니다.

연구원들은 StandardKeyboard가 손상된 시스템에서 Windows 서비스로 지속된다고 말합니다. 키보드 서비스 C2로부터 받은 base64로 인코딩된 명령을 실행합니다.

CrowdStrike는 BleepingComputer를 통해 2023년 10월 공격이 이스라엘-하마스 분쟁 이후 이스라엘 조직을 표적으로 삼았다고 확인했습니다.

지난 캠페인

이전 활동에서 Imperial Kitten은 브라우저 데이터, IP 주소 등 방문자에 대한 정보를 수집하고 잠재적인 표적을 프로파일링하는 JavaScript 코드로 여러 이스라엘 웹사이트를 손상시키는 워터링 홀 공격을 수행했습니다.

PricewaterhouseCoopers(PwC)의 위협 인텔리전스 팀은 이러한 캠페인이 2022년에서 2023년 사이에 해양, 해운 및 물류 부문을 표적으로 삼아 발생했으며 피해자 중 일부는 추가 페이로드를 도입하는 IMAPLoader 악성 코드를 받았다고 밝혔습니다.

다른 사례에서 Crowdstrike는 해커가 네트워크를 직접 침해하고, 공개 공격 코드를 활용하고, 훔친 VPN 자격 증명을 사용하고, SQL 주입을 수행하거나, 대상 조직에 피싱 이메일을 보내는 것을 목격했습니다.

CrowdStrike와 PwC 모두 [1, 2] 관찰된 공격에 사용된 악성 코드와 공격자의 인프라에 대한 손상 지표(IoC)를 제공합니다.

Leave A Reply

Your email address will not be published.