据说一名被怀疑来自伊朗的恐怖分子策划了监控活动,其中至少有两种不同的活动——一个针对Windows该系统,另一个针对Android系统。该活动使用武器库,包括大量入侵工具,旨在窃取SMS个人文件、密码、电报信息和身份验证代码。
网络安全公司Check Point Research称这一行为“Rampant Kitten”(猖獗的小猫),这种恶意软件工具主要用于对付伊朗少数民族、反政府组织,如阿什拉夫营和自由居民家庭协会(AFALR)、俾路支省的阿塞拜疆民族抵抗组织和公民。
Windows信息窃取者:瞄准KeePass和Telegram
在每个Check Point感染链首先可以追溯到一个恶意软件Microsoft Word文档(“The Regime Fears the Spread of the Revolutionary Cannons.docx”),打开时,文档将执行下一阶段的有效负载,以检查Windows是否存储在系统上Telegram应用程序,删除三个其他恶意可执行文件下载辅助模块,从受害者的计算机中窃取相关文件Telegram Desktop和KeePass文件。
这样,渗透可以使攻击者劫持个人Telegram帐户并窃取消息,并将所有具有特定扩展名的文件聚集到受他们控制的服务器上。
该研究还证实,本周早些时候,美国网络安全和基础设施安全局(CISA)警报详细说明了伊朗网络参与者的使用情况PowerShell脚本访问由KeePass存储在密码管理软件中的加密密码凭证。
更重要的是,更重要的是,Telegram账户中的信息被单独的策略窃取,涉及伪造Telegram托管网络钓鱼页面,包括使用伪造的功能更新信息获取未经授权的账户访问权。
Android信息窃取者:捕获Google SMS 2FA代码
Android后门具有记录感染手机周围环境和检索联系人详细信息的功能。它安装了一个伪装成服务的应用程序,以帮助瑞典波斯语用户获得驾照。
值得注意的是,这个流氓应用程序被设计成截获所有“G-”从指挥控制到前缀的短信(C2)这些短信通常用于谷歌基于短信的双因素认证(2FA)。这样,攻击者就可以合法通过Google帐户登录屏幕捕获受害者Google绕过账户凭证2FA。
Check Point据说,它发现了许多恶意软件变体,可以追溯到2014年,其中一些同时使用,两者之间存在显著差异,如用不同的编程语言编写,使用各种通信协议,并不总是窃取相同类型的信息。
对不同政见者的监视运动
考虑到针对“Rampant Kitten”(猖獗的小猫)精心挑选的目标性质,如Mujahedin-e Khalq(MEK)与阿塞拜疆国家抵抗组织(ANRO),黑客很可能在伊朗政府的命令下工作。此外,后门的功能、盗窃敏感文件和访问的功能KeePass和Telegram该账户的重要性表明,攻击者有兴趣收集这些受害者的信息,并更多地了解他们的活动。
参考来源:thehackernews