Ferocious Kitten APT组织监视伊朗公民长达六年 – 作者:sanfenqiantu

卡巴斯基的研究人员报告,与伊朗有关的APT组织Ferocious Kitten正在利用即时通讯应用程序和VPN软件,如Telegram和Psiphon,来分发Windows RAT并监视目标设备。

1624002277_60cc4ee5aea2955a899e9.png!small

据悉,该APT组织至少从2015年起就开始窃取受害者的敏感信息,而锁定这两个平台,是因为它们在伊朗很受欢迎。并且,该APT组织所使用的一些TTP与其他进行类似活动的组织(如Domestic Kitten和Rampant Kitten)的TTP相一致。

攻击活动中所采用的诱饵经常为政治主题,涉及抵抗基地或打击伊朗政权的图像或视频,这种情况表明他们攻击的目标是该国境内此类运动的潜在支持者。

1624002294_60cc4ef6cf333b26e4a8b.png!small

此次活动被发现,是由于卡巴斯基调查了2020年7月和2021年3月上传到VirusTotal的两个武器化文件。

1624002312_60cc4f08011e378a22fcf.png!small

这两份文件包含了用于启动多阶段感染的宏,旨在部署一个新发现的名为MarkiRat的恶意软件。

该恶意软件允许攻击者窃取目标数据,记录击键,下载和上传任意文件,捕获剪贴板内容,并在受感染的系统上执行任意命令

此外,研究人员分析的MarkiRAT恶意软件变体之一涉及一个普通的下载器,从一个硬编码的域中获取一个可执行文件。这个样本与该组织过去所使用的其他样本不同,有效载荷变为由恶意软件本身投放。这表示该组织可能正在对一些他们所使用的TTP进行修改。

专家们还发现了Psiphon工具的一个污点版本,这是一个用于逃避互联网审查的开源VPN软件。

值得重视的是,研究人员发现该组织的指挥和控制基础设施正在托管DEX和APK文件形式的安卓应用程序,很可能是该组织为了针对移动用户所采取的行动。

来源:securityaffairs

来源:freebuf.com 2021-06-18 15:45:56 by: sanfenqiantu

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论