Ferocious Kitten APT组织监视伊朗公民长达六年
2021-06-18 16:45:56 Author: www.freebuf.com(查看原文) 阅读量:143 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

卡巴斯基的研究人员报告,与伊朗有关的APT组织Ferocious Kitten正在利用即时通讯应用程序和VPN软件,如Telegram和Psiphon,来分发Windows RAT并监视目标设备。

1624002277_60cc4ee5aea2955a899e9.png!small

据悉,该APT组织至少从2015年起就开始窃取受害者的敏感信息,而锁定这两个平台,是因为它们在伊朗很受欢迎。并且,该APT组织所使用的一些TTP与其他进行类似活动的组织(如Domestic Kitten和Rampant Kitten)的TTP相一致。

攻击活动中所采用的诱饵经常为政治主题,涉及抵抗基地或打击伊朗政权的图像或视频,这种情况表明他们攻击的目标是该国境内此类运动的潜在支持者。

1624002294_60cc4ef6cf333b26e4a8b.png!small

此次活动被发现,是由于卡巴斯基调查了2020年7月和2021年3月上传到VirusTotal的两个武器化文件。

1624002312_60cc4f08011e378a22fcf.png!small

这两份文件包含了用于启动多阶段感染的宏,旨在部署一个新发现的名为MarkiRat的恶意软件。

该恶意软件允许攻击者窃取目标数据,记录击键,下载和上传任意文件,捕获剪贴板内容,并在受感染的系统上执行任意命令

此外,研究人员分析的MarkiRAT恶意软件变体之一涉及一个普通的下载器,从一个硬编码的域中获取一个可执行文件。这个样本与该组织过去所使用的其他样本不同,有效载荷变为由恶意软件本身投放。这表示该组织可能正在对一些他们所使用的TTP进行修改。

专家们还发现了Psiphon工具的一个污点版本,这是一个用于逃避互联网审查的开源VPN软件。

值得重视的是,研究人员发现该组织的指挥和控制基础设施正在托管DEX和APK文件形式的安卓应用程序,很可能是该组织为了针对移动用户所采取的行动。

来源:securityaffairs


文章来源: https://www.freebuf.com/news/277880.html
如有侵权请联系:admin#unsafe.sh