Crowdstrike Counter Adversary Operations hat eine Reihe von Cyberangriffen und Watering-Hole-Attacken untersucht, die im Oktober 2023 auf israelische Unternehmen aus den Bereichen Transport, Logistik und Technologien zielten. Dabei geht Crowdstrike davon aus, dass der iranische Akteur Imperial Kitten hinter diesen Angriffen steckt.
Die Angreifer nutzen erfahrungsgemäß die folgenden Taktiken, Techniken und Prozeduren (TTPs):
- Verwendung von frei verfügbaren Scantools, Ausnutzung von Day-One-Exploits, SQL-Injections und gestohlenen VPN-Anmeldeinformationen
- Einsatz von kommerziellen Scantools, PAExec und Diebstahl von Zugangsdaten zwecks Lateral Movement
- Exfiltration von Daten durch Nutzung von frei verfügbarer sowie maßgeschneiderter Malware
Crowdstrike analysierte mehrere Malware-Samples, die von Imperial Kitten eingesetzt werden. Darunter befinden sich unter anderem:
- IMAPLoader, der E-Mail-Verkehr als C2-Struktur verwende
- Ein ähnlich funktionierendes Malware-Sample mit dem Namen StandardKeyboard
- Ein Malware-Sample, das Discord als C2-Struktur ausnutzt
- Eine Python-Reverse-Shell, die über eine makrofähige Excel-Tabelle verbreitet wird
Der Cyberabwehr des Landesamts für Verfassungsschutz Baden-Württemberg sind bislang keine Angriffe gegen Ziele in Deutschland bekannt. Aufgrund bestehender Geschäftsbeziehungen zwischen deutschen und israelischen Unternehmen, können jedoch auch hier Ziele ins Visier der Angreifer geraten. Crowdstrike stellt auf ihrer Homepage IoCs sowie eine MITRE ATT&CK-Map zur Verfügung. Wir raten daher zur Prüfung und Abhärtung der eigenen Systeme und Netzwerke anhand der von Crowdstrike zur Verfügung gestellten Informationen.