卡巴斯基的研究人員報告,,與伊朗有關的APT組織Ferocious Kitten正在利用即時通訊應用程序和VPN軟件,如Telegram和Psiphon,,來分發(fā)Windows RAT并監(jiān)視目標設備,。
據(jù)悉,該APT組織至少從2015年起就開始竊取受害者的敏感信息,,而鎖定這兩個平臺,,是因為它們在伊朗很受歡迎。并且,,該APT組織所使用的一些TTP與其他進行類似活動的組織(如Domestic Kitten和Rampant Kitten)的TTP相一致,。
攻擊活動中所采用的誘餌經常為政治主題,涉及抵抗基地或打擊伊朗政權的圖像或視頻,,這種情況表明他們攻擊的目標是該國境內此類運動的潛在支持者,。
此次活動被發(fā)現(xiàn),是由于卡巴斯基調查了2020年7月和2021年3月上傳到VirusTotal的兩個武器化文件,。
這兩份文件包含了用于啟動多階段感染的宏,,旨在部署一個新發(fā)現(xiàn)的名為MarkiRat的惡意軟件。
該惡意軟件允許攻擊者竊取目標數(shù)據(jù),,記錄擊鍵,,下載和上傳任意文件,捕獲剪貼板內容,,并在受感染的系統(tǒng)上執(zhí)行任意命令,。
此外,,研究人員分析的MarkiRAT惡意軟件變體之一涉及一個普通的下載器,從一個硬編碼的域中獲取一個可執(zhí)行文件,。這個樣本與該組織過去所使用的其他樣本不同,,有效載荷變?yōu)橛蓯阂廛浖旧硗斗拧_@表示該組織可能正在對一些他們所使用的TTP進行修改,。
專家們還發(fā)現(xiàn)了Psiphon工具的一個污點版本,,這是一個用于逃避互聯(lián)網(wǎng)審查的開源VPN軟件。
值得重視的是,,研究人員發(fā)現(xiàn)該組織的指揮和控制基礎設施正在托管DEX和APK文件形式的安卓應用程序,,很可能是該組織為了針對移動用戶所采取的行動。