Les pirates iraniens lancent des attaques via malware contre le secteur technologique israélien
-
Des chercheurs en sécurité ont suivi une nouvelle campagne d’Imperial Kitten ciblant les entreprises de transport, de logistique et de technologie.
Imperial Kitten est également connu sous le nom de Tortoiseshell, TA456, Crimson Sandstorm et Yellow Liderc, et pendant plusieurs années, il a utilisé l’identité en ligne Marcella Flores.
Il s’agit d’un groupes de pirates lié au Corps des gardiens de la révolution islamique (CGRI), une branche des forces armées iraniennes, et est actif depuis au moins 2017 dans la réalisation de cyberattaques contre des organisations dans divers secteurs, notamment la défense, la technologie, les télécommunications, le maritime, l’énergie et les services de conseil et professionnels.
Les récentes attaques ont été découvertes par des chercheurs de la société de cybersécurité CrowdStrike. Attribution basée via l’analyse des campagnes passées, ils ont observé des tactiques, des techniques et des procédures (TTP), l’utilisation du malware IMAPLoader ainsi que des campagnes de phishing.
Les attaques d’Imperial Kitten
Dans un rapport publié plus tôt cette semaine, les chercheurs affirment qu’Imperial Kitten a lancé des attaques de phishing en octobre en utilisant un thème de «recrutement d’emplois» dans des courriels portant une pièce jointe Microsoft Excel piégée.
Lors de l’ouverture du document, le code macro malveillant extrait deux fichiers batch qui créent de la persistance grâce aux modifications du registre et exécutent des charges utiles Python pour avoir des accès externes via du Reverse Shell.
L’attaquant se déplace ensuite sur le réseau à l’aide d’outils tels que PAExec pour exécuter des processus à distance et NetScan pour la reconnaissance du réseau. De plus, ils utilisent ProcDump pour obtenir des informations d’identification à partir de la mémoire système.
La communication avec le serveur de commande et de contrôle (C2) est réalisée à l’aide du malware personnalisé IMAPLoader et StandardKeyboard, tous deux s’appuyant sur le courrier électronique pour échanger des informations.
Les chercheurs disent que StandardKeyboard est persistant sur la machine compromise en tant que service de clavier de service Windows et exécute les commandes codées en base64 reçues du C2.
CrowdStrike a confirmé pour BleepingComputer que les attaques d’octobre 2023 visaient des organisations israéliennes à la suite du conflit Israël-Hamas.
Campagnes passées
Dans une activité précédente, Imperial Kitten a mené des attaques de gestion des eaux en compromettant plusieurs sites Web israéliens avec du code JavaScript qui collectait des informations sur les visiteurs, telles que les données du navigateur et l’adresse IP, le profilage des cibles potentielles.
L’équipe de Threat Intelligence de PricewaterhouseCoopers (PwC) affirme que ces campagnes se sont déroulées entre 2022 et 2023 et ont ciblé les secteurs maritime et logistique. Certaines sont victimes du malware IMAPLoader qui a introduit des charges utiles supplémentaires.
Dans d’autres cas, Crowdstrike a vu les pirates infiltrer directement les réseaux, tirer parti du code d’exploitation public, utiliser des informations d’identification VPN volées, effectuer une injection SQL ou via des e-mails de phishing envoyés à l’organisation cible.
CrowdStrike et PwC fournissent des indicateurs de compromission (IoC) pour déterminer dans quelle mesure une compromission d’Imperial Kitten a affecté une organisation via l’analyse des attaques observées.
– Source
-
Attention l’Iran, vous jouez un jeu dangereux avec Israël, si il se fâche ou que les alliés les soutiennent vous allez prendre cher
-
Israël est protégé par les etats Unis, L’iran est protégé par la Russie, La Syrie, La chine et la Corée du Nord donc ta théorie de représailles n’est juste qu’un fantasme sans te manquer de respect.
La géopolitique, c’est très très complexe, c’est pas Call Of.
Les Etats Unis se sont cassés les dents en Afghanistan et en Irak alors l’Iran je te dis pas le bordel. -
@Psyckofox a dit dans Les pirates iraniens lancent des attaques via malware contre le secteur technologique israélien :
Les Etats Unis se sont cassés les dents en Afghanistan et en Irak
En fait c’est surtout la paix qu’ils ont perdu là bas!
Quand à la Syrie elle est plus protégée (enfin le régime d’al-Assad) qu’elle protège qui que ce soit.
Quand à l’Iran il sait très bien jusqu’où il peu aller (pas très loin en fait) preuve en est le déballonnement du Hezbollah libanais.
-
@michmich a dit dans Les pirates iraniens lancent des attaques via malware contre le secteur technologique israélien :
En fait c’est surtout la paix qu’ils ont perdu là bas!
Enfin la paix, je dirai + qu’ils ont gratté ce qu’il y’avait à gratter et se sont barrés (la paix n’était qu’un prétexte pour aller foutre la merde là bas).
La situation n’a pas changé, l’Afghanistan est plus pauvre qu’elle était à leur arrivée (et comme d’habitude dans ces délires, le peuple a juste goûté aux drones ainsi qu’à l’humiliation). On va me dire “Oui mais c’était pour chasser les talibans” ouais ok, mais alors pourquoi sont ils toujours là bas.
Donc oui, je peux dire qu’ils se sont cassés les dents là bas tout en profitant à voler ce qu’il y’a à voler (ils ont au moins gagné ça).
Irak, Afghanistan, Lybie…nous occidentaux on a + foutu la merde que ramener la paix.La guerre n’a ramené que la merde et conflits en tous genre qu’arranger les choses
-
@Psyckofox Ah mais j’ai jamais pensé que les guerres en Irak et en Afghanistan étaient de bonnes choses, elles ont mis le bordel dans toute la zone, d’où le rétropédalage d’Obama en Syrie, du coup c’est les russes qui y sont allés, pour le travail inverse, soit maintenir le boucher de Damas en place!
Demandes à une afghane si elle préfère vivre sous occupation américaine ou sous le régime des talibans.
-
Je comprends l’engouement, mais restons en sur le côté techno de la chose si vous le voulez bien les amis
Je partage ce genre de news plutôt pour le côté technologie, typologie d’attaque, type de soft, etc…
V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
@michmich a dit dans Les pirates iraniens lancent des attaques via malware contre le secteur technologique israélien :
Demandes à une afghane si elle préfère vivre sous occupation américaine ou sous le régime des talibans.
La peste ou le choléra ? Non jamais demandé (ça serait super déplacé de ma part en tant qu’occidental).
Dans ma tour, beaucoup de réfugiés y habitent pour fuir la guerre (afghans, syriens etc…certains d’entre eux ont perdu des membres de leur famille).
Edit : pas de problème Violence, je suis 100 % ok avec toi
-
Violence CosmoSeeders # Dev I.T Guy PW Addicta répondu à Psyckofox le dernière édition par Violence
@Psyckofox a dit dans Les pirates iraniens lancent des attaques via malware contre le secteur technologique israélien :
Edit : pas de problème Violence, je suis 100 % ok avec toi
No hay problemas amigo @Psyckofox
Sé que todo esto está cerca de tu corazón.V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░
