Cyber-Groupe Imperial Kitten : une cyberactivité iranienne menaçante au Moyen-Orient

CrowdStrike a attribué ces attaques à un acteur de menace qu’il suit sous le nom d’Imperial Kitten et qui est également connu sous les noms de Crimson Sandstorm (anciennement Curium), TA456, Tortoiseshell et Yellow Liderc.

Les dernières découvertes de l’entreprise s’appuient sur des rapports antérieurs de Mandiant, ClearSky et PwC, ces derniers détaillant également des cas de compromissions stratégiques sur le web (attaques de type « watering hole ») conduisant au déploiement d’IMAPLoader sur des systèmes infectés.

« L’adversaire, actif depuis au moins 2017, répond probablement à des besoins de renseignements stratégiques iraniens associés aux opérations du CGRI », a déclaré CrowdStrike dans un rapport technique. « Son activité se caractérise par l’utilisation de l’ingénierie sociale, en particulier le contenu sur le thème du recrutement, pour livrer des implants personnalisés basés sur .NET. »

Les chaînes d’attaque s’appuient sur des sites web compromis, principalement ceux liés à Israël, pour établir le profil des visiteurs à l’aide de JavaScript sur mesure et exfiltrer les informations vers des domaines contrôlés par les attaquants. Outre les attaques de type « watering hole », il semble qu’Imperial Kitten ait recours à des exploits d’un jour, à des identifiants volés, à l’hameçonnage et même au ciblage de fournisseurs de services informatiques en amont pour l’accès initial.
Les campagnes d’hameçonnage impliquent l’utilisation de documents Microsoft Excel contenant des macros pour activer la chaîne d’infection et lancer un shell inversé basé sur Python qui se connecte à une adresse IP codée en dur pour recevoir d’autres commandes. Parmi les activités notables de post-exploitation, citons la réalisation d’un mouvement latéral grâce à l’utilisation de PAExec, la variante open-source de PsExec, et de NetScan, suivie de la livraison des implants IMAPLoader et StandardKeyboard. Un cheval de Troie d’accès à distance (RAT) a également été déployé, qui utilise Discord pour la commande et le contrôle, tandis que IMAPLoader et StandardKeyboard utilisent les messages électroniques (c’est-à-dire les pièces jointes et le corps du message) pour recevoir des tâches et envoyer les résultats de l’exécution. StandardKeyboard a pour principal objectif d’exécuter les commandes codées en Base64 reçues dans le corps du message, souligne la société de cybersécurité. Contrairement à IMAPLoader, ce logiciel malveillant persiste sur la machine infectée sous la forme d’un service Windows appelé Keyboard Service ». Les opérateurs iraniens continuent d’employer des tactiques éprouvées, notamment en exagérant le succès des attaques sur les réseaux informatiques et en amplifiant ces activités par le biais d’opérations d’information bien intégrées, ce qui revient à créer une propagande en ligne cherchant à accroître la notoriété et l’impact des attaques opportunistes, dans le but d’en augmenter les effets. La divulgation fait également suite aux révélations selon lesquelles un acteur de menace affilié au Hamas, nommé Arid Viper, a ciblé des arabophones avec un logiciel espion Android connu sous le nom de SpyC23 par le biais d’applications militantes se faisant passer pour Skipped Telegram, d’après Cisco Talos SentinelOne.