《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Ferocious Kitten APT組織監(jiān)視伊朗公民長達(dá)六年

Ferocious Kitten APT組織監(jiān)視伊朗公民長達(dá)六年

2021-06-22
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
關(guān)鍵詞: 伊朗 監(jiān)視

卡巴斯基的研究人員報(bào)告,與伊朗有關(guān)的APT組織Ferocious Kitten正在利用即時(shí)通訊應(yīng)用程序和VPN軟件,如Telegram和Psiphon,來分發(fā)Windows RAT并監(jiān)視目標(biāo)設(shè)備。

微信圖片_20210622115502.jpg

  據(jù)悉,該APT組織至少從2015年起就開始竊取受害者的敏感信息,而鎖定這兩個(gè)平臺(tái),是因?yàn)樗鼈冊谝晾屎苁軞g迎。并且,該APT組織所使用的一些TTP與其他進(jìn)行類似活動(dòng)的組織(如Domestic Kitten和Rampant Kitten)的TTP相一致。

  攻擊活動(dòng)中所采用的誘餌經(jīng)常為政治主題,涉及抵抗基地或打擊伊朗政權(quán)的圖像或視頻,這種情況表明他們攻擊的目標(biāo)是該國境內(nèi)此類運(yùn)動(dòng)的潛在支持者。

微信圖片_20210622115506.jpg

此次活動(dòng)被發(fā)現(xiàn),是由于卡巴斯基調(diào)查了2020年7月和2021年3月上傳到VirusTotal的兩個(gè)武器化文件。

微信圖片_20210622115509.jpg

  這兩份文件包含了用于啟動(dòng)多階段感染的宏,旨在部署一個(gè)新發(fā)現(xiàn)的名為MarkiRat的惡意軟件。

  該惡意軟件允許攻擊者竊取目標(biāo)數(shù)據(jù),記錄擊鍵,下載和上傳任意文件,捕獲剪貼板內(nèi)容,并在受感染的系統(tǒng)上執(zhí)行任意命令。

  此外,研究人員分析的MarkiRAT惡意軟件變體之一涉及一個(gè)普通的下載器,從一個(gè)硬編碼的域中獲取一個(gè)可執(zhí)行文件。這個(gè)樣本與該組織過去所使用的其他樣本不同,有效載荷變?yōu)橛蓯阂廛浖旧硗斗拧_@表示該組織可能正在對一些他們所使用的TTP進(jìn)行修改。

  專家們還發(fā)現(xiàn)了Psiphon工具的一個(gè)污點(diǎn)版本,這是一個(gè)用于逃避互聯(lián)網(wǎng)審查的開源VPN軟件。

  值得重視的是,研究人員發(fā)現(xiàn)該組織的指揮和控制基礎(chǔ)設(shè)施正在托管DEX和APK文件形式的安卓應(yīng)用程序,很可能是該組織為了針對移動(dòng)用戶所采取的行動(dòng)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。