Группировка Rampant Kitten шесть лет атаковала иранские организации
22 сентября 2020 года
Исследователи безопасности из Check Point Research обнаружили широкомасштабную кампанию по слежке, которую организовала иранская киберпреступная группировка Rampant Kitten.
Шпионская кампания нацелена на данные персональных устройств жертв, учетные данные браузера и файлы приложения для обмена сообщениями Telegram. Одним из примечательных инструментов в арсенале группировки является вредоносная программа для Android, способная собирать все коды безопасности для двухфакторной аутентификацией (2FA), отправленные на устройства, похищать учетные данные Telegram и запускать фишинговые атаки на учетные записи Google.
Как сообщили эксперты, Rampant Kitten на протяжении как минимум шести лет атаковала иранские организации и осуществляла слежку за ними. Жертвами преступников стали иранские участники сопротивления и организации, выступающие против правительственного режима, включая Ассоциацию семей лагеря Ашраф и жителей Свободы (AFALR), а также Азербайджанскую национальную организацию сопротивления.
Преступники использовали широкий спектр инструментов для проведения своих атак, в том числе четыре варианта инфостилеров для кражи файлов из приложений Telegram и KeePass; фишинговые страницы для кражи учетных данных Telegram и Android-бэкдор, похищающий 2FA-коды из SMS-сообщений и осуществляющий аудиозапись окружения телефона.
Исследователи впервые обнаружили кампанию Rampant Kitten через документ, название которого переводится как «Режим боится распространения революционных пушек». При открытии документа загружается шаблон документа с удаленного сервера (afalr-sharepoint [.] Com), который имитирует web-сайт некоммерческой организации, помогающей иранским диссидентам. Затем он загружает вредоносный код макроса, выполняющий пакетный сценарий для загрузки и выполнения полезной нагрузки следующего этапа. Данная полезная нагрузка проверяет, установлено ли приложение Telegram на системе жертвы. Если это так, она извлекает три исполняемых файла для хищения конфиденциальных данных.
В ходе расследования исследователи обнаружили вредоносное приложение для Android. Приложение предназначалось для помощи говорящим на персидском языке в Швеции в получении водительских прав. Как только жертва загружает приложение, бэкдор крадет SMS-сообщения и обходит 2FA, пересылая все SMS-сообщения, начинающееся с префикса G- (префикс кодов двухфакторной аутентификации Google) на номер телефона, контролируемый злоумышленником.
Источники[править]
Эта статья содержит материалы из статьи «Группировка Rampant Kitten шесть лет атаковала иранские организации», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.