Tin tặc Iran triển khai chiến dịch tấn công phần mềm độc hại vào lĩnh vực công nghệ của Israel

21:00 | 16/11/2023 | HACKER / MALWARE

Các nhà nghiên cứu bảo mật của công ty an ninh mạng CrowdStrike cho biết đã phát hiện một chiến dịch tấn công mạng mới được thực hiện bởi nhóm tin tặc Imperial Kitten, với các mục tiêu nhắm vào các công ty trong lĩnh vực vận tải, hậu cần và công nghệ của Israel.

Tin tặc Iran triển khai chiến dịch tấn công phần mềm độc hại vào lĩnh vực công nghệ của Israel

Tổng quan về Imperial Kitten

Imperial Kitten còn được gọi là Tortoiseshell, TA456, Crimson Sandstorm và Yellow Liderc, đây là nhóm tin tặc có liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) và đã hoạt động ít nhất từ năm 2017.

Các nhà nghiên cứu cho biết, Imperial Kitten có khả năng thực hiện các nhiệm vụ tình báo chiến lược của Chính phủ Iran liên quan đến các hoạt động của IRGC. Trong quá khứ, nhóm tin tặc này đã thực hiện các cuộc tấn công mạng nhằm vào các tổ chức trong nhiều lĩnh vực khác nhau, bao gồm , công nghệ, viễn thông, hàng hải, năng lượng, tư vấn và các dịch vụ chuyên nghiệp. Các cuộc tấn công gần đây được phát hiện bởi các nhà nghiên cứu tại công ty an ninh mạng CrowdStrike. Họ đã đưa ra nhận định dựa trên sự trùng lặp về cơ sở hạ tầng với các chiến dịch trước đây, các chiến thuật, kỹ thuật và quy trình (TTP) được quan sát, việc sử dụng phần mềm độc hại IMAPLoader.

Cuộc tấn công của Imperial Kitten

Các tin tặc đã cố gắng xâm phạm nạn nhân dựa trên lợi ích chung của họ bằng cách đánh lừa các nạn nhân đến một trang web do tin tặc kiểm soát. Cho đến nay, các tên miền của Imperial Kitten đã đóng vai trò là vị trí chuyển hướng từ các trang web bị xâm nhập (chủ yếu của ).

Các nhà nghiên cứu xác định được phần mềm độc hại đang theo dõi có tên IMAPLoader, được nhóm Imperial Kitten sử dụng làm payload cuối cùng cho các hoạt động tấn công. IMAPLoader được phân phối dưới dạng thư viện liên kết động (DLL) và được tải thông qua việc chèn AppDomainManager. Nó sử dụng email để ra lệnh và kiểm soát và được cấu hình thông qua các địa chỉ được nhúng trong phần mềm độc hại. Ngoài ra, IMAPLoader cũng sử dụng tệp đính kèm trong email để nhận nhiệm vụ và gửi phản hồi.

Một dòng phần mềm độc hại khác được Imperial Kitten triển khai trong chiến dịch mới này có tên là StandardKeyboard. Điều này có nhiều đặc điểm IMAPLoader, với mục đích chính là thực thi các lệnh được mã hóa Base64 nhận được trong nội dung email. Cụ thể, trong một báo cáo được công bố đầu tuần này, các nhà nghiên cứu nói rằng Imperial Kitten đã phát động các cuộc tấn công lừa đảo vào tháng 10/2023, bằng cách sử dụng chủ đề liên quan đến tuyển dụng việc làm trong các email có tệp đính kèm Microsoft Excel độc hại.

Khi mở tài liệu, mã macro độc hại bên trong sẽ trích xuất hai tệp batch thông qua sửa đổi registry và chạy payload để truy cập Reverse shell. Sau đó, tin tặc di chuyển ngang trên mạng bằng cách sử dụng các công cụ như PAExec để thực thi các quy trình từ xa và NetScan để trinh sát mạng. Ngoài ra, chúng còn sử dụng ProcDump để lấy thông tin xác thực từ bộ nhớ hệ thống.

Việc giao tiếp với máy chủ C2 được thực hiện thông qua phần mềm độc hại tùy chỉnh IMAPLoader và StandardKeyboard, cả hai đều dựa vào email để trao đổi thông tin. Các nhà nghiên cứu cho biết StandardKeyboard vẫn tồn tại trên máy bị xâm nhập dưới dạng Keyboard Service Windows và thực thi các lệnh được mã hóa base64 nhận được từ máy chủ C2. CrowdStrike cho biết rằng các cuộc tấn công mạng này xảy ra vào tháng 10/2023 và nhắm vào các tổ chức của Israel trong bối cảnh Israel - Hamas đang diễn biến hết sức phức tạp.

Các chiến dịch trước đây

Trong hoạt động trước đó, Imperial Kitten đã thực hiện các cuộc tấn công Watering Hole bằng cách xâm phạm một số trang web của Israel bằng mã JavaScript và nhằm thu thập thông tin về khách truy cập, chẳng hạn như dữ liệu trình duyệt và địa chỉ IP, lập hồ sơ các mục tiêu tiềm năng.

Trong các trường hợp khác, Crowdstrike đã chứng kiến tin tặc xâm nhập hệ thống mạng trực tiếp, tận dụng mã khai thác công khai, sử dụng thông tin xác thực VPN bị đánh cắp, thực hiện chèn lệnh SQL hoặc thông qua email được gửi đến tổ chức mục tiêu.

Hồng Đạt

(Tổng hợp)

‹ › ×

Tin liên quan

Tin tặc Iran tấn công Brute Force vào các cơ sở hạ tầng quan trọng

10:00 | 25/10/2024

Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.

Tin tặc Iran nhắm mục tiêu vào các công ty tài chính và chính phủ ở Trung Đông

10:00 | 07/11/2023

Các nhà nghiên cứu tại hãng bảo mật CheckPoint cùng công ty dịch vụ và công nghệ mạng Sygnia đã quan sát và theo dõi một nhóm tin tặc có liên kết với Bộ tình báo và an ninh Iran (MOIS) đang tiến hành một chiến dịch gián điệp mạng tinh vi nhắm vào các lĩnh vực tài chính, chính phủ, quân sự và viễn thông ở khu vực Trung Đông trong khoảng thời gian ít nhất là một năm.

Microsoft: Các cuộc tấn công mạng của Iran vào Israel tăng mạnh kể từ khi cuộc chiến ở Dải Gaza bắt đầu

10:00 | 25/10/2024

Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.

Phân tích biến thể mới của phần mềm độc hại SysJoker trong các cuộc tấn công mạng nhắm vào Israel

16:00 | 01/12/2023

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.

Hơn 100 tổ chức của Israel bị tấn công làm rò rỉ dữ liệu

09:00 | 09/01/2024

Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.

Nhóm tin tặc ủng hộ Hamas nhắm mục tiêu vào Israel bằng phần mềm độc hại Wiper mới

14:00 | 08/11/2023

Một nhóm tin tặc hacktivist ủng hộ phong trào Hamas đã bị phát hiện đang sử dụng phần mềm độc hại Wiper mới dựa trên hệ điều hành Linux với mục tiêu nhắm vào các công ty của Israel, trong bối cảnh cuộc chiến quân sự giữa Israel và Hamas đang diễn ra.

Israel thiệt hại hàng tỷ USD mỗi năm do tấn công mạng

15:00 | 21/05/2024

Theo báo cáo của Cơ quan Hệ thống Mạng Quốc gia Israel (NCS), các cuộc tấn công qua mạng Internet nhằm vào các cơ quan, tổ chức và cá nhân gây thiệt hại tổng cộng khoảng 12 tỷ NIS (3,2 tỷ USD) mỗi năm, tức hơn 0,6% GDP hàng năm của quốc gia này.

Giải mã vụ tấn công mạng nhà máy điện của Israel

09:00 | 27/10/2023

Xung đột quân sự đang diễn ra giữa Israel và Hamas cũng đã mở rộng sang lĩnh vực kỹ thuật số. Ngày nay, không gian mạng đóng một vai trò quan trọng và ảnh hưởng của nó có thể tác động trực tiếp đến cục diện trên chiến trường, khi xuất hiện nhiều hơn các nhóm tin tặc tham gia vào các cuộc tấn công mạng với mục tiêu nhắm vào các hệ thống thông tin liên lạc, quân sự, phương tiện truyền thông và cơ sở hạ tầng quan trọng của đối phương. Các nhóm này có thể là các chủ thể độc lập theo chủ nghĩa hacktivist hoạt động với động cơ chính trị rõ ràng hoặc được chính phủ các nước hậu thuẫn và bảo trợ phía sau.

Tin cùng chuyên mục

Báo động an ninh chuỗi cung ứng toàn cầu từ vụ nổ Liban

10:00 | 30/10/2024

Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.

CISA cảnh báo về lỗ hổng Apache HugeGraph-Server đang bị khai thác

13:00 | 30/09/2024

Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.

Cứ 5 người Việt thì 1 người nguy cơ bị tấn công mạng khi lướt web

08:00 | 26/09/2024

Theo dữ liệu mới từ Kaspersky, tình hình an ninh mạng Việt Nam đã có những dấu hiệu tích cực trong quý II/2024 so với cùng kỳ năm trước. Tuy nhiên, trước sự gia tăng và phức tạp của các loại hình tấn công mạng, việc duy trì cảnh giác cao độ và đầu tư vào các giải pháp bảo mật vẫn là nhiệm vụ cần được ưu tiên hàng đầu.

Mã độc Android.Vo1d cài đặt backdoor trên 1,3 triệu TV box tại 197 quốc gia

07:00 | 23/09/2024

Theo hãng bảo mật Doctor Web (Nga), tin tặc đã sử dụng mã độc Android.Vo1d để cài đặt backdoor trên các TV box, cho phép chúng chiếm quyền kiểm soát thiết bị hoàn toàn, sau đó tải và thực thi các ứng dụng độc hại khác. Được biết, các TV box này chạy hệ điều hành Android đã lỗi thời.