Группировка Rampant Kitten шесть лет атаковала иранские организации

Вт 22 Сентябрь 2020 05:00

Исследователи безопасности из Check Point Research обнаружили широкомасштабную кампанию по слежке, которую организовала иранская киберпреступная группировка Rampant Kitten.

Шпионская кампания нацелена на данные персональных устройств жертв, учетные данные браузера и файлы приложения для обмена сообщениями Telegram. Одним из примечательных инструментов в арсенале группировки является вредоносная программа для Android, способная собирать все коды безопасности для двухфакторной аутентификацией (2FA), отправленные на устройства, похищать учетные данные Telegram и запускать фишинговые атаки на учетные записи Google.

Как сообщили эксперты, Rampant Kitten на протяжении как минимум шести лет атаковала иранские организации и осуществляла слежку за ними. Жертвами преступников стали иранские участники сопротивления и организации, выступающие против правительственного режима, включая Ассоциацию семей лагеря Ашраф и жителей Свободы (AFALR), а также Азербайджанскую национальную организацию сопротивления.

Преступники использовали широкий спектр инструментов для проведения своих атак, в том числе четыре варианта инфостилеров для кражи файлов из приложений Telegram и KeePass; фишинговые страницы для кражи учетных данных Telegram и Android-бэкдор, похищающий 2FA-коды из SMS-сообщений и осуществляющий аудиозапись окружения телефона.

Исследователи впервые обнаружили кампанию Rampant Kitten через документ, название которого переводится как «Режим боится распространения революционных пушек». При открытии документа загружается шаблон документа с удаленного сервера (afalr-sharepoint [.] Com), который имитирует web-сайт некоммерческой организации, помогающей иранским диссидентам. Затем он загружает вредоносный код макроса, выполняющий пакетный сценарий для загрузки и выполнения полезной нагрузки следующего этапа. Данная полезная нагрузка проверяет, установлено ли приложение Telegram на системе жертвы. Если это так, она извлекает три исполняемых файла для хищения конфиденциальных данных.

В ходе расследования исследователи обнаружили вредоносное приложение для Android. Приложение предназначалось для помощи говорящим на персидском языке в Швеции в получении водительских прав. Как только жертва загружает приложение, бэкдор крадет SMS-сообщения и обходит 2FA, пересылая все SMS-сообщения, начинающееся с префикса G- (префикс кодов двухфакторной аутентификации Google) на номер телефона, контролируемый злоумышленником.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 221 день 16 часов 37 минут 20 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.