Tổng quan về Imperial Kitten
Imperial Kitten còn được gọi là Tortoiseshell, TA456, Crimson Sandstorm và Yellow Liderc, đây là nhóm tin tặc có liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) và đã hoạt động ít nhất từ năm 2017.
Các nhà nghiên cứu cho biết, Imperial Kitten có khả năng thực hiện các nhiệm vụ tình báo chiến lược của Chính phủ Iran liên quan đến các hoạt động của IRGC. Trong quá khứ, nhóm tin tặc này đã thực hiện các cuộc tấn công mạng nhằm vào các tổ chức trong nhiều lĩnh vực khác nhau, bao gồm quốc phòng, công nghệ, viễn thông, hàng hải, năng lượng, tư vấn và các dịch vụ chuyên nghiệp. Các cuộc tấn công gần đây được phát hiện bởi các nhà nghiên cứu tại công ty an ninh mạng CrowdStrike. Họ đã đưa ra nhận định dựa trên sự trùng lặp về cơ sở hạ tầng với các chiến dịch trước đây, các chiến thuật, kỹ thuật và quy trình (TTP) được quan sát, việc sử dụng phần mềm độc hại IMAPLoader.
Cuộc tấn công của Imperial Kitten
Các tin tặc đã cố gắng xâm phạm nạn nhân dựa trên lợi ích chung của họ bằng cách đánh lừa các nạn nhân đến một trang web do tin tặc kiểm soát. Cho đến nay, các tên miền của Imperial Kitten đã đóng vai trò là vị trí chuyển hướng từ các trang web bị xâm nhập (chủ yếu của Israel).
Các nhà nghiên cứu xác định được phần mềm độc hại đang theo dõi có tên IMAPLoader, được nhóm Imperial Kitten sử dụng làm payload cuối cùng cho các hoạt động tấn công. IMAPLoader được phân phối dưới dạng thư viện liên kết động (DLL) và được tải thông qua việc chèn AppDomainManager. Nó sử dụng email để ra lệnh và kiểm soát và được cấu hình thông qua các địa chỉ email được nhúng trong phần mềm độc hại. Ngoài ra, IMAPLoader cũng sử dụng tệp đính kèm trong email để nhận nhiệm vụ và gửi phản hồi.
Một dòng phần mềm độc hại khác được Imperial Kitten triển khai trong chiến dịch mới này có tên là StandardKeyboard. Điều này có nhiều đặc điểm IMAPLoader, với mục đích chính là thực thi các lệnh được mã hóa Base64 nhận được trong nội dung email. Cụ thể, trong một báo cáo được công bố đầu tuần này, các nhà nghiên cứu nói rằng Imperial Kitten đã phát động các cuộc tấn công lừa đảo vào tháng 10/2023, bằng cách sử dụng chủ đề liên quan đến tuyển dụng việc làm trong các email có tệp đính kèm Microsoft Excel độc hại.
Khi mở tài liệu, mã macro độc hại bên trong sẽ trích xuất hai tệp batch thông qua sửa đổi registry và chạy payload Python để truy cập Reverse shell. Sau đó, tin tặc di chuyển ngang trên mạng bằng cách sử dụng các công cụ như PAExec để thực thi các quy trình từ xa và NetScan để trinh sát mạng. Ngoài ra, chúng còn sử dụng ProcDump để lấy thông tin xác thực từ bộ nhớ hệ thống.
Việc giao tiếp với máy chủ C2 được thực hiện thông qua phần mềm độc hại tùy chỉnh IMAPLoader và StandardKeyboard, cả hai đều dựa vào email để trao đổi thông tin. Các nhà nghiên cứu cho biết StandardKeyboard vẫn tồn tại trên máy bị xâm nhập dưới dạng Keyboard Service Windows và thực thi các lệnh được mã hóa base64 nhận được từ máy chủ C2. CrowdStrike cho biết rằng các cuộc tấn công mạng này xảy ra vào tháng 10/2023 và nhắm vào các tổ chức của Israel trong bối cảnh xung đột Israel - Hamas đang diễn biến hết sức phức tạp.
Các chiến dịch trước đây
Trong hoạt động trước đó, Imperial Kitten đã thực hiện các cuộc tấn công Watering Hole bằng cách xâm phạm một số trang web của Israel bằng mã JavaScript và nhằm thu thập thông tin về khách truy cập, chẳng hạn như dữ liệu trình duyệt và địa chỉ IP, lập hồ sơ các mục tiêu tiềm năng.
Trong các trường hợp khác, Crowdstrike đã chứng kiến tin tặc xâm nhập hệ thống mạng trực tiếp, tận dụng mã khai thác công khai, sử dụng thông tin xác thực VPN bị đánh cắp, thực hiện chèn lệnh SQL hoặc thông qua email lừa đảo được gửi đến tổ chức mục tiêu.
Hồng Đạt
(Tổng hợp)
10:00 | 07/11/2023
16:00 | 01/12/2023
14:00 | 08/11/2023
09:00 | 27/10/2023
07:00 | 03/11/2023
Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.
10:00 | 26/10/2023
Các nhà nghiên cứu tại Zscaler ThreatLabz (trụ sở chính tại Mỹ) gần đây đã phát hiện ra một chiến dịch đánh cắp thông tin mới với tên gọi là Steal-It. Trong chiến dịch này, kẻ tấn công đã đánh cắp và lọc các hàm băm NTLMv2 bằng cách sử dụng các phiên bản tùy chỉnh của tập lệnh PowerShell Start-CaptureServer trong framework Nishang.
08:00 | 13/10/2023
Các lỗ hổng bảo mật gần đây được phát hiện trong máy chủ Exim có thể cho phép kẻ tấn công xâm nhập vào hệ thống và giành quyền truy cập dữ liệu nhạy cảm, bao gồm cả email. Đây không phải là lần đầu tiên lỗ hổng bảo mật được phát hiện đối với các máy chủ email. Vào tháng 5/2021, tổ chức cung cấp giải pháp bảo mật Qualys đã tiết lộ một bộ 21 lỗ hổng được gọi chung là “21Nails” cho phép những kẻ tấn công không được xác thực có thể thực thi mã từ xa và giành quyền kiểm soát hệ thống trên hàng triệu máy chủ email.
09:00 | 03/10/2023
Trí tuệ nhân tạo (AI) có tiềm năng trở thành công cụ hữu ích, song cũng có nguy cơ trở thành vũ khí chống lại nhân loại nếu chúng vượt tầm kiểm soát của con người.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.
09:00 | 24/11/2023
