关于ZAKER 融媒体解决方案 合作 加入
51CTO 09-21

一场针对伊朗的为期 6 年的网络间谍活动

据称,一名被怀疑来自伊朗的恐怖分子策划了这场监视活动,其中至少由两个不同的活动组成——一个针对 Windows 系统,另一个针对安卓系统。活动使用了包含大量入侵工具的武器库,旨在窃取 SMS 消息中的个人文档,密码,电报消息和两因素身份验证代码。

网络安全公司 Check Point Research 称此次行动为 "Rampant Kitten" ( 猖獗的小猫 ) ,而这套恶意软件工具主要用于对付伊朗少数民族、反政府组织以及诸如阿什拉夫营和自由居民家庭协会 ( AFALR ) 、阿塞拜疆民族抵抗组织等抵抗运动,以及俾路支省的公民。

Windows 信息窃取者:瞄准 KeePass 和 Telegram

在每个 Check Point 中,感染链首先被追溯到一个带有恶意软件的 Microsoft Word 文档 ( "The Regime Fears the Spread of the Revolutionary Cannons.docx" ) ,该文档在打开时会执行下一阶段的有效负载,以检查在 Windows 系统上是否存 Telegram 应用程序,然后删除三个其他恶意可执行文件以下载辅助模块并从受害者的计算机中窃取相关的 Telegram Desktop 和 KeePass 文件。

这样以后,渗透可以使攻击者劫持个人的 Telegram 帐户并窃取消息,并将所有具有特定扩展名的文件聚集到受他们控制的服务器上。

该研究还证实了本周早些时候美国网络安全和基础设施安全局 ( CISA ) 的一个警报,该警报详细说明了伊朗网络参与者使用 PowerShell 脚本访问由 KeePass 密码管理软件存储的加密密码凭据。

更重要的是,Telegram 帐户中的信息是使用一种单独的策略盗取的,该策略涉及到伪造 Telegram 的托管网络钓鱼页面,包括使用伪造的功能更新消息来获得未经授权的帐户访问权限。

Android 信息窃取者:捕获 Google SMS 2FA 代码

Android 后门具有记录受感染手机周围环境和检索联系人详细信息的功能,它通过一个伪装成服务的应用程序安装,以帮助瑞典的波斯语使用者获得驾驶执照。

值得注意的是,这个流氓应用程序被设计成截获所有以 "G-" 为前缀的短消息,并将其传输到从指挥控制 ( C2 ) 服务器接收到的电话号码上,这些短信通常用于谷歌基于短信的双因素认证 ( 2FA ) 。这样,攻击者就可以通过合法的 Google 帐户登录屏幕捕获受害者的 Google 帐户凭证,绕过 2FA。

Check Point 表示,它发现了多个可追溯至 2014 年的恶意软件变体,其中某些版本同时使用,并且两者之间存在显著差异,如用不同的编程语言编写,使用了多种通信协议,而且并不总是窃取相同类型的信息。

针对持不同政见者的监视运动

考虑到针对 "Rampant Kitten" ( 猖獗的小猫 ) 精心挑选的目标性质,例如 Mujahedin-e Khalq ( MEK ) 和阿塞拜疆国家抵抗组织 ( ANRO ) ,黑客很可能是在伊朗政府的命令下工作的。此外,后门的功能以及对窃取敏感文件以及访问 KeePass 和 Telegram 帐户的重视表明,攻击者有兴趣收集有关这些受害者的情报,并更多地了解其活动。

参考来源

thehackernews

【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0

以上内容由"51CTO"上传发布 查看原文

觉得文章不错,微信扫描分享好友

扫码分享