Группировка Rampant Kitten шесть лет атаковала иранские организации

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

22 сентября 2020 года

Исследователи безопасности из Check Point Research обнаружили широкомасштабную кампанию по слежке, которую организовала иранская киберпреступная группировка Rampant Kitten.

Шпионская кампания нацелена на данные персональных устройств жертв, учетные данные браузера и файлы приложения для обмена сообщениями Telegram. Одним из примечательных инструментов в арсенале группировки является вредоносная программа для Android, способная собирать все коды безопасности для двухфакторной аутентификацией (2FA), отправленные на устройства, похищать учетные данные Telegram и запускать фишинговые атаки на учетные записи Google.

Как сообщили эксперты, Rampant Kitten на протяжении как минимум шести лет атаковала иранские организации и осуществляла слежку за ними. Жертвами преступников стали иранские участники сопротивления и организации, выступающие против правительственного режима, включая Ассоциацию семей лагеря Ашраф и жителей Свободы (AFALR), а также Азербайджанскую национальную организацию сопротивления.

Преступники использовали широкий спектр инструментов для проведения своих атак, в том числе четыре варианта инфостилеров для кражи файлов из приложений Telegram и KeePass; фишинговые страницы для кражи учетных данных Telegram и Android-бэкдор, похищающий 2FA-коды из SMS-сообщений и осуществляющий аудиозапись окружения телефона.

Исследователи впервые обнаружили кампанию Rampant Kitten через документ, название которого переводится как «Режим боится распространения революционных пушек». При открытии документа загружается шаблон документа с удаленного сервера (afalr-sharepoint [.] Com), который имитирует web-сайт некоммерческой организации, помогающей иранским диссидентам. Затем он загружает вредоносный код макроса, выполняющий пакетный сценарий для загрузки и выполнения полезной нагрузки следующего этапа. Данная полезная нагрузка проверяет, установлено ли приложение Telegram на системе жертвы. Если это так, она извлекает три исполняемых файла для хищения конфиденциальных данных.

В ходе расследования исследователи обнаружили вредоносное приложение для Android. Приложение предназначалось для помощи говорящим на персидском языке в Швеции в получении водительских прав. Как только жертва загружает приложение, бэкдор крадет SMS-сообщения и обходит 2FA, пересылая все SMS-сообщения, начинающееся с префикса G- (префикс кодов двухфакторной аутентификации Google) на номер телефона, контролируемый злоумышленником.

Источники[править]

Эта статья содержит материалы из статьи «Группировка Rampant Kitten шесть лет атаковала иранские организации», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).
Creative Commons
Creative Commons
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Группировка_Rampant_Kitten_шесть_лет_атаковала_иранские_организации&oldid=8368870