伊朗黑客对以色列科技界发动恶意软件攻击

2025-11-26 20:03:59分类：系统运维阅读(16)

Bleeping Computer 网站披露，伊朗安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输
、黑客物流和技术公司发起新一轮网络攻击活动。对色

据悉
，列科Imperial Kitten 又名 Tortoiseshell、技界TA456
 、发动Crimson Sandstorm 和 Yellow Liderc，恶意疑似与伊朗武装部队分支伊斯兰革命卫队（IRGC）关联密切，软件至少自 2017 年以来持续活跃 ，攻击多次对国防 、伊朗技术、黑客电信 、对色海事、列科能源以及咨询和专业服务等多个领域的技界实体组织
，香港云服务器发动网络攻击。发动

网络安全公司 CrowdStrike 的研究人员研究了近期的攻击活动
，并根据基础设施与过去攻击活动的重叠情况 、观察到的战术、技术和程序 (TTP)
、IMAPLoader 恶意软件的使用情况以及网络钓鱼诱饵，进行了归因分析 。

Imperial Kitten 攻击

近期 ，研究人员在发布的建站模板一份报告中指出，Imperial Kitten 在 10 月份发起了网络钓鱼攻击活动 。在邮件中使用了 "招聘 "主题，并附带恶意 Microsoft Excel 附件。一旦受害目标打开文档，其中的恶意宏代码会提取两个批处理文件，通过修改注册表创建持久性，并运行 Python 有效载荷进行反向 shell 访问。

然后，网络攻击者就可以使用 PAExec 等工具在网络上横向移动，远程执行进程 ，并使用 NetScan 进行网络侦察。

此外
，高防服务器网络攻击这还使用 ProcDump 从系统内存中获取凭证。（指挥和控制（C2）服务器的通信是通过定制的恶意软件 IMAPLoader 和 StandardKeyboard 实现的，两者都依赖电子邮件来交换信息。）研究人员表示，StandardKeyboard 作为 Windows服务键盘服务在受损机器上持续存在，并执行从 C2 接收的base64 编码命令。

CrowdStrike 向 BleepingComputer 证实，2023 年 10 月 ，主要攻击目标是免费模板以色列境内的实体组织
。

Imperial Kitten 此多次发起网络攻击活动

值得一提的是 ，此前的网络攻击活动中，Imperial Kitten 利用 JavaScript 代码入侵了多个以色列网站，非法“收集”访问者的信息（如浏览器数据和 IP 地址） ，对潜在目标进行剖析。

普华永道的威胁情报团队指出
，这些活动发生在 2022 年至 2023 年之间 ，源码下载威胁攻击者的目标是海事 、航运和物流行业 ，其中一些受害者收到了引入额外有效载荷的 IMAPLoader 恶意软件 。Crowdstrike 还发现威胁攻击者直接入侵网络 ，利用公共漏洞代码，使用窃取的 VPN 凭据 ，执行 SQL 注入 ，或通过向目标组织发送钓鱼电子邮件。

参考文章 ：https://www.bleepingcomputer.com/news/security/iranian-hackers-launch-malware-attacks-on-israels-tech-sector/