Forscher haben eine von Iran unterstützte Hackergruppe namens IMPERIAL KITTEN identifiziert, die sich auf strategische Webkompromittierungen (SWC) mit einem Fokus auf Transport-, Logistik- und Technologieunternehmen spezialisiert hat. Diese Gruppe, die seit mindestens 2017 aktiv ist, soll Verbindungen zum Islamischen Revolutionsgarden Korps (IRGC) haben und im Auftrag des Iran strategische Geheimdienstinformationen sammeln.
Die Gruppe setzt soziale Ingenieurstechniken ein, insbesondere Jobanwerbungsinhalte, um benutzerdefinierte .NET-basierte Implantate zu verbreiten. Zuvor hatte IMPERIAL KITTEN Sektoren wie Energie, Schifffahrt, Verteidigung, Technologie und Beratung ins Visier genommen.
Eingesetzte Taktiken und Techniken CrowdStrike beschreibt, dass IMPERIAL KITTEN folgende Taktiken und Techniken anwendet:
- Einsatz von Zero-Day-Exploits, öffentlichen Scanning-Tools, SQL-Injection und kompromittierten VPN-Zugangsdaten für den ersten Zugriff.
- Verwendung von Scanning-Tools, PAExec und Diebstahl von Zugangsdaten.
- Datenexfiltration durch Einsatz von benutzerdefinierten und Open-Source-Malware, die auf den Nahen Osten abzielt.
Die SWC-Domains der Gruppe setzten anfangs den Matomo-Analysedienst ein, um Besucherprofile zu erstellen. Später wurden benutzerdefinierte Skripte verwendet, um Besucherdaten wie Browserinformationen und IP-Adressen zu sammeln. Diese Informationen wurden an eine festgelegte Domain gesendet.
Die finale Malware in den SWC-Aktivitäten ist laut Berichten die als IMAPLoader bekannte Malwarefamilie. Gelegentlich wird Malware direkt an SWC-Opfer geliefert. Es gibt Hinweise darauf, dass IMPERIAL KITTEN Unternehmen wie IT-Dienstleister anvisiert, um an wertvolle Daten für die Exfiltration zu gelangen.
Die Gruppe nutzt auch bösartige Microsoft Excel-Dokumente in ihren Phishing-Kampagnen und erreicht seitliche Bewegungen durch den Einsatz von PAExec und NetScan. Außerdem verwendet sie ProcDump, um Speicherinhalte des LSASS-Prozesses für den Diebstahl von Anmeldeinformationen zu sammeln.
IMPERIAL KITTEN setzt eine Vielzahl von Tools ein, darunter benutzerdefinierte Implantate, ein Remote-Access-Tool (RAT), das Discord für C2 nutzt, IMAPLoader und StandardKeyboard, die beide E-Mail für C2 verwenden.
In einem Bericht von Mai 2023 wurde ein ausgeklügelter Watering-Hole-Angriff von ClearSky entdeckt und mit Imperial Kitten in Verbindung gebracht. Dieser Angriff zielte ebenfalls auf mehrere israelische Websites ab, was mit den vorherigen Aktionen von Imperial Kitten übereinstimmt.