Hacker Iran Serang Perusahaan Logistik dan IT Israel
loading...
Peretas atau hacker yang disponsori Iran dan tergabung dalam kelompok Imperial Kitten diketahui mengatur serangan siber terhadap perusahaan logistik, transportasi, dan teknologi Israel. Foto/CTech
A
A
A
TEHERAN - Peretas atau hacker yang disponsori Iran dan tergabung dalam kelompok Imperial Kitten diketahui mengatur serangan siber terhadap perusahaan logistik, transportasi, dan teknologi Israel. Perusahaan keamanan CrowdStrike menyebutkan serangan siber dilakukan untuk mencuri data dan kredensial serta meretas sistem.
CrowdStrike mengatakan telah mengamati kelompok Imperial Kitten menyerang perusahaan-perusahaan Israel antara tahun 2022 dan 2023. Imperial Kitten pertama kali muncul pada tahun 2017 dan memiliki hubungan dengan Korps Garda Revolusi Islam Iran .
Kelompok tersebut menggunakan beberapa metode untuk mendapatkan akses awal ke sistem yang ditargetkan. Termasuk memikat korban ke domain yang dikendalikan penyerang, phishing, pencurian kredensial untuk mengakses peralatan VPN, dan eksploitasi publik.
Baca juga; Hacker Iran dan Rusia Bantu Hamas, Warga Yahudi Panas Dingin
Kelompok ini sebelumnya menargetkan organisasi pertahanan, penerbangan, maritim, teknologi informasi, dan logistik untuk mengumpulkan informasi intelijen bagi negara Iran. Menurut Proofpoint, Imperial Kitten, yang dilacak sebagai TA456, menggunakan perusahaan Mahak Rayan Afraz yang berbasis di Teheran sebagai kedok untuk berkomunikasi dengan IRGC.
PwC dalam postingan blognya pada bulan Oktober mengatakan Imperial Kitten, yang dijuluki Yellow Liderc, menggunakan kombinasi JavaScript berbahaya, email phishing, dan malware. CrowdStrike mengatakan kelompok tersebut, dalam operasi pada bulan Oktober selama perang Israel-Hamas, menggunakan email phishing untuk mengirimkan dokumen Excel yang mendukung makro.
Setelah korban mengaktifkan makro, dokumen tersebut mengekstrak tiga file batch yang menjalankan shell terbalik yang terhubung ke alamat IP hard-code pada port TCP 6443 untuk berkomunikasi dan menerima perintah dari C2. Imperial Kitten juga menggunakan alat sumber terbuka dan tersedia untuk umum, seperti PAExec, NetScan, dan PsExec, untuk melakukan gerakan lateral.
Perangkat kelompok kejahatan dunia maya ini juga mencakup IMAPLoader, malware berbasis .NET yang mengunduh malware tambahan dan memanfaatkan email sebagai saluran perintah dan kontrol untuk berkomunikasi dengan operatornya. Menurut analisis CrowdStrike, IMAPLoader pertama kali diamati pada bulan September dan didistribusikan sebagai pustaka tautan dinamis yang dimuat melalui injeksi AppDomainManager.
Baca juga; Hacker Rusia Berencana Kendalikan Jaringan Satelit AS
Kesalahan ketik pada file yang disematkan menunjukkan bahwa pengembangnya bukan penutur asli bahasa Inggris. Imperial Kitten juga menyebarkan malware .NET yang dijuluki StandardKeyboard, yang juga menggunakan email untuk komunikasi C2 dan menjalankan perintah berkode Base64 yang diterima melalui email.
CrowdStrike mengatakan penggunaan email yang terus-menerus sebagai saluran perintah dan kontrol membantunya menghubungkan operasi tersebut dengan Imperial Kitten. Diketahui hacker Imperial Kitten, fokus menargetkan perusahaan maritim, transportasi, dan teknologi Israel.
CrowdStrike mengatakan telah mengamati kelompok Imperial Kitten menyerang perusahaan-perusahaan Israel antara tahun 2022 dan 2023. Imperial Kitten pertama kali muncul pada tahun 2017 dan memiliki hubungan dengan Korps Garda Revolusi Islam Iran .
Kelompok tersebut menggunakan beberapa metode untuk mendapatkan akses awal ke sistem yang ditargetkan. Termasuk memikat korban ke domain yang dikendalikan penyerang, phishing, pencurian kredensial untuk mengakses peralatan VPN, dan eksploitasi publik.
Baca juga; Hacker Iran dan Rusia Bantu Hamas, Warga Yahudi Panas Dingin
Kelompok ini sebelumnya menargetkan organisasi pertahanan, penerbangan, maritim, teknologi informasi, dan logistik untuk mengumpulkan informasi intelijen bagi negara Iran. Menurut Proofpoint, Imperial Kitten, yang dilacak sebagai TA456, menggunakan perusahaan Mahak Rayan Afraz yang berbasis di Teheran sebagai kedok untuk berkomunikasi dengan IRGC.
PwC dalam postingan blognya pada bulan Oktober mengatakan Imperial Kitten, yang dijuluki Yellow Liderc, menggunakan kombinasi JavaScript berbahaya, email phishing, dan malware. CrowdStrike mengatakan kelompok tersebut, dalam operasi pada bulan Oktober selama perang Israel-Hamas, menggunakan email phishing untuk mengirimkan dokumen Excel yang mendukung makro.
Setelah korban mengaktifkan makro, dokumen tersebut mengekstrak tiga file batch yang menjalankan shell terbalik yang terhubung ke alamat IP hard-code pada port TCP 6443 untuk berkomunikasi dan menerima perintah dari C2. Imperial Kitten juga menggunakan alat sumber terbuka dan tersedia untuk umum, seperti PAExec, NetScan, dan PsExec, untuk melakukan gerakan lateral.
Perangkat kelompok kejahatan dunia maya ini juga mencakup IMAPLoader, malware berbasis .NET yang mengunduh malware tambahan dan memanfaatkan email sebagai saluran perintah dan kontrol untuk berkomunikasi dengan operatornya. Menurut analisis CrowdStrike, IMAPLoader pertama kali diamati pada bulan September dan didistribusikan sebagai pustaka tautan dinamis yang dimuat melalui injeksi AppDomainManager.
Baca juga; Hacker Rusia Berencana Kendalikan Jaringan Satelit AS
Kesalahan ketik pada file yang disematkan menunjukkan bahwa pengembangnya bukan penutur asli bahasa Inggris. Imperial Kitten juga menyebarkan malware .NET yang dijuluki StandardKeyboard, yang juga menggunakan email untuk komunikasi C2 dan menjalankan perintah berkode Base64 yang diterima melalui email.
CrowdStrike mengatakan penggunaan email yang terus-menerus sebagai saluran perintah dan kontrol membantunya menghubungkan operasi tersebut dengan Imperial Kitten. Diketahui hacker Imperial Kitten, fokus menargetkan perusahaan maritim, transportasi, dan teknologi Israel.
(wib)
Lihat Juga :
