Pesquisadores de segurança rastrearam uma nova campanha do Imperial Kitten visando empresas de transporte, logística e tecnologia. O grupo hacker, também conhecido como Tortoiseshell, TA456, Crimson Sandstorm e Yellow Liderc, usou durante vários anos o nome da persona online Marcella Flores, que parecia ser uma instrutora de aeróbica do Reino Unido, mas que investigadores depois descobriram tratar-se apenas uma pessoa com perfil em mídias sociais.
O Imperial Kitten é um operador de ameaças ligado ao Corpo da Guarda Revolucionária Islâmica (IRGC, na sigla em inglês), um ramo das Forças Armadas iranianas, e está ativo desde ao menos 2017 realizando ataques cibernéticos contra organizações em vários setores, incluindo defesa, tecnologia, telecomunicações, marítimo, energia e serviços de consultoria e profissionais.
Os ataques recentes foram descobertos por pesquisadores da empresa de cibersegurança CrowdStrike, que chegaram a essa conclusão com base em sobreposições de infraestrutura de campanhas passadas, além de táticas, técnicas e procedimentos (TTPs) observados em ataques anteriores, bem como o uso do malware IMAPLoader e iscas de phishing.
Em um relatório publicado no início da semana passada, pesquisadores disseram que o Imperial Kitten lançou ataques de phishing em outubro usando um tema de “recrutamento de emprego” em e-mails com um anexo malicioso do Microsoft Excel.
Ao abrir o documento, o código de macro mal-intencionado extrai dois arquivos em lote que criam persistência por meio de modificações no registro e executam cargas úteis do Python para acesso reverso ao shell. O invasor então se move lateralmente na rede usando ferramentas como PAExec para executar processos remotamente e NetScan para reconhecimento de rede. Além disso, eles empregam ProcDump para obter credenciais da memória do sistema.
A comunicação com o servidor de comando e controle (C&C) é obtida usando o malware personalizado IMAPLoader e StandardKeyboard, ambos contando com e-mail para trocar informações.
Os pesquisadores dizem que o StandardKeyboard persiste na máquina comprometida como o serviço de teclado do windows e executa comandos codificados em base64 recebidos do C&C.
Em atividades anteriores, o Imperial Kitten realizou ataques de watering hole (caça à vítima no bebedouro, em tradução livre),comprometendo vários sites israelenses com código JavaScript que coletava informações sobre os visitantes, como dados do navegador e endereço IP, traçando o perfil de alvos potenciais.
Veja isso
Grupo iraniano usa spray de senhas para espionagem
Hackers iranianos miram empresas no Brasil, Israel e UAE
A equipe de inteligência de ameaças da PricewaterhouseCoopers (PwC) diz que essas campanhas ocorreram entre 2022 e 2023 e visaram os setores marítimo e logístico, sendo que algumas das vítimas receberam o malware IMAPLoader que introduziu cargas úteis adicionais.
Em outros casos, a Crowdstrike identificou os hackers violando redes diretamente, aproveitando código de exploração pública, usando credenciais VPN roubadas, realizando injeção de SQL ou por meio de e-mails de phishing enviados à organização alvo.
Tanto a CrowdStrike, cujo relatório pode ser visto aqui, quanto a PwC, cujo relatório pode ser conferido aqui, fornecem indicadores de comprometimento (IoCs) para malware e a infraestrutura do adversário usada nos ataques observados.