卡巴斯基的研究人员报告,与伊朗有关的APT组织Ferocious Kitten正在利用即时通讯应用程序和VPN软件,如Telegram和Psiphon,来分发Windows RAT并监视目标设备。
据悉,该APT组织至少从2015年起就开始窃取受害者的敏感信息,而锁定这两个平台,是因为它们在伊朗很受欢迎。并且,该APT组织所使用的一些TTP与其他进行类似活动的组织(如Domestic Kitten和Rampant Kitten)的TTP相一致。
攻击活动中所采用的诱饵经常为政治主题,涉及抵抗基地或打击伊朗政权的图像或视频,这种情况表明他们攻击的目标是该国境内此类运动的潜在支持者。
此次活动被发现,是由于卡巴斯基调查了2020年7月和2021年3月上传到VirusTotal的两个武器化文件。
这两份文件包含了用于启动多阶段感染的宏,旨在部署一个新发现的名为MarkiRat的恶意软件。
该恶意软件允许攻击者窃取目标数据,记录击键,下载和上传任意文件,捕获剪贴板内容,并在受感染的系统上执行任意命令。
此外,研究人员分析的MarkiRAT恶意软件变体之一涉及一个普通的下载器,从一个硬编码的域中获取一个可执行文件。这个样本与该组织过去所使用的其他样本不同,有效载荷变为由恶意软件本身投放。这表示该组织可能正在对一些他们所使用的TTP进行修改。
专家们还发现了Psiphon工具的一个污点版本,这是一个用于逃避互联网审查的开源VPN软件。
值得重视的是,研究人员发现该组织的指挥和控制基础设施正在托管DEX和APK文件形式的安卓应用程序,很可能是该组织为了针对移动用户所采取的行动。
来源:securityaffairs