Il settore tecnologico israeliano è stato recentemente colpito da una serie di attacchi malware orchestrati da Imperial Kitten, un attore di minaccia associato al Corpo delle Guardie della Rivoluzione Islamica (IRGC) dell’Iran. Attivo dal 2017, Imperial Kitten, noto anche con i nomi di Tortoiseshell, TA456, Crimson Sandstorm e Yellow Liderc, ha condotto campagne cibernetiche contro organizzazioni nei settori della difesa, tecnologia, telecomunicazioni, marittimo, energia e servizi professionali.
Phishing e Malware: Le Nuove Strategie di Imperial Kitten
Secondo i ricercatori di CrowdStrike, Imperial Kitten ha lanciato attacchi di phishing a ottobre, utilizzando il tema del reclutamento di lavoro in email con allegati Excel dannosi. L’apertura del documento attiva un codice macro malevolo che estrae file batch per creare persistenza tramite modifiche al registro e esegue payload Python per l’accesso al reverse shell. Gli attaccanti si spostano lateralmente nella rete usando strumenti come PAExec per eseguire processi a distanza e NetScan per il riconoscimento di rete, oltre a ProcDump per ottenere credenziali dalla memoria del sistema.
Persistenza e Comunicazione con i Server C2
La persistenza del malware StandardKeyboard è garantita dal servizio Windows “Keyboard Service”, che esegue comandi codificati in base64 ricevuti dal server C2. IMAPLoader e StandardKeyboard, entrambi basati sulla comunicazione via email, sono i malware utilizzati per lo scambio di informazioni con i comandi di controllo.
Risposta alla Minaccia e Indicazioni di Compromissione
CrowdStrike e PricewaterhouseCoopers (PwC) hanno fornito indicatori di compromissione (IoC) per il malware e l’infrastruttura utilizzata negli attacchi osservati. Queste informazioni sono cruciali per le organizzazioni che cercano di difendersi da future incursioni.