卡巴斯基的研究人員報(bào)告,與伊朗有關(guān)的APT組織Ferocious Kitten正在利用即時(shí)通訊應(yīng)用程序和VPN軟件,如Telegram和Psiphon,來分發(fā)Windows RAT并監(jiān)視目標(biāo)設(shè)備。
據(jù)悉,該APT組織至少從2015年起就開始竊取受害者的敏感信息,而鎖定這兩個(gè)平臺(tái),是因?yàn)樗鼈冊谝晾屎苁軞g迎。并且,該APT組織所使用的一些TTP與其他進(jìn)行類似活動(dòng)的組織(如Domestic Kitten和Rampant Kitten)的TTP相一致。
攻擊活動(dòng)中所采用的誘餌經(jīng)常為政治主題,涉及抵抗基地或打擊伊朗政權(quán)的圖像或視頻,這種情況表明他們攻擊的目標(biāo)是該國境內(nèi)此類運(yùn)動(dòng)的潛在支持者。
此次活動(dòng)被發(fā)現(xiàn),是由于卡巴斯基調(diào)查了2020年7月和2021年3月上傳到VirusTotal的兩個(gè)武器化文件。
這兩份文件包含了用于啟動(dòng)多階段感染的宏,旨在部署一個(gè)新發(fā)現(xiàn)的名為MarkiRat的惡意軟件。
該惡意軟件允許攻擊者竊取目標(biāo)數(shù)據(jù),記錄擊鍵,下載和上傳任意文件,捕獲剪貼板內(nèi)容,并在受感染的系統(tǒng)上執(zhí)行任意命令。
此外,研究人員分析的MarkiRAT惡意軟件變體之一涉及一個(gè)普通的下載器,從一個(gè)硬編碼的域中獲取一個(gè)可執(zhí)行文件。這個(gè)樣本與該組織過去所使用的其他樣本不同,有效載荷變?yōu)橛蓯阂廛浖旧硗斗拧_@表示該組織可能正在對一些他們所使用的TTP進(jìn)行修改。
專家們還發(fā)現(xiàn)了Psiphon工具的一個(gè)污點(diǎn)版本,這是一個(gè)用于逃避互聯(lián)網(wǎng)審查的開源VPN軟件。
值得重視的是,研究人員發(fā)現(xiàn)該組織的指揮和控制基礎(chǔ)設(shè)施正在托管DEX和APK文件形式的安卓應(yīng)用程序,很可能是該組織為了針對移動(dòng)用戶所采取的行動(dòng)。