卡巴斯基的研究人員報告，與伊朗有關的APT組織Ferocious Kitten正在利用即時通訊應用程序和VPN軟件，如Telegram和Psiphon，來分發(fā)Windows RAT并監(jiān)視目標設備。

　　據(jù)悉，該APT組織至少從2015年起就開始竊取受害者的敏感信息，而鎖定這兩個平臺，是因為它們在伊朗很受歡迎。并且，該APT組織所使用的一些TTP與其他進行類似活動的組織（如Domestic Kitten和Rampant Kitten）的TTP相一致。

　　攻擊活動中所采用的誘餌經(jīng)常為政治主題，涉及抵抗基地或打擊伊朗政權的圖像或視頻，這種情況表明他們攻擊的目標是該國境內(nèi)此類運動的潛在支持者。

此次活動被發(fā)現(xiàn)，是由于卡巴斯基調(diào)查了2020年7月和2021年3月上傳到VirusTotal的兩個武器化文件。

　　這兩份文件包含了用于啟動多階段感染的宏，旨在部署一個新發(fā)現(xiàn)的名為MarkiRat的惡意軟件。

　　該惡意軟件允許攻擊者竊取目標數(shù)據(jù)，記錄擊鍵，下載和上傳任意文件，捕獲剪貼板內(nèi)容，并在受感染的系統(tǒng)上執(zhí)行任意命令。

　　此外，研究人員分析的MarkiRAT惡意軟件變體之一涉及一個普通的下載器，從一個硬編碼的域中獲取一個可執(zhí)行文件。這個樣本與該組織過去所使用的其他樣本不同，有效載荷變?yōu)橛蓯阂廛浖旧硗斗拧＿@表示該組織可能正在對一些他們所使用的TTP進行修改。

　　專家們還發(fā)現(xiàn)了Psiphon工具的一個污點版本，這是一個用于逃避互聯(lián)網(wǎng)審查的開源VPN軟件。

　　值得重視的是，研究人員發(fā)現(xiàn)該組織的指揮和控制基礎設施正在托管DEX和APK文件形式的安卓應用程序，很可能是該組織為了針對移動用戶所采取的行動。