监视活动据称是由一名疑似来自伊朗的恐怖分子策划的,包括至少两个不同的活动——一个针对Windows系统,另一个针对Android。该活动使用了一个包含大量入侵工具的武器库,旨在窃取个人文档、密码、Telegram消息和SMS消息中的双因素身份验证代码。网络安全公司CheckPointResearch将这次行动称为“猖獗的小猫”,该恶意软件工具被用来对付伊朗少数民族、反政府团体以及AshrafBattalion和自由居民家庭协会等团体。(AFALR)、阿塞拜疆全国抵抗组织等抵抗运动和俾路支省公民。WindowsInfostealer:针对KeePass和Telegram在每个CheckPoint中,感染链首先被追踪到一个充满恶意软件的MicrosoftWord文档(“TheRegimeFearstheSpreadoftheRevolutionaryCannons.docx”),该文档在打开时被发现,下一阶段的有效载荷被执行以检查Windows系统上是否存在Telegram应用程序,然后投放其他三个恶意可执行文件以下载辅助模块并从受害者的计算机文档中窃取相关的TelegramDesktop和KeePass。后来,渗透将允许攻击者劫持个人的Telegram帐户并窃取消息,并将具有特定扩展名的所有文件聚合到他们控制的服务器上。该研究还证实了美国网络安全和基础设施安全局(CISA)本周早些时候发出的警报,其中详细说明了伊朗网络参与者使用PowerShell脚本访问KeePass密码管理软件存储的加密密码凭据。更重要的是,Telegram账户的信息被窃取使用了一种单独的策略,该策略涉及伪造Telegram的托管网络钓鱼页面,包括使用虚假的功能更新消息来获得未经授权的帐户访问权限。AndroidInfostealer:捕获谷歌SMS2FA代码Android后门能够记录受感染手机的周围环境并检索联系方式,通过伪装成服务的应用程序安装,以帮助瑞典的波斯语使用者获得驾驶执照。值得注意的是,这个流氓应用程序旨在拦截所有以“G-”为前缀的文本消息并将其传输到从命令和控制(C2)服务器接收的电话号码,这些服务器通常被基于GoogleSMS的双因素身份验证(2FA)使用。这允许攻击者通过合法的Google帐户登录屏幕捕获受害者的Google帐户凭据来绕过2FA。CheckPoint表示,它发现该恶意软件的多个变种可以追溯到2014年,其中一些是同时使用的,两者之间存在显着差异,例如使用不同的编程语言编写并使用多种通信协议,并且并不总是窃取同类型的信息。针对持不同政见者的监视活动鉴于“猖獗的小猫”(RampantKitten)精心挑选的目标如圣战者组织(MEK)和阿塞拜疆民族抵抗组织(ANRO)的性质,黑客很可能在伊朗的组织下工作政府的命令。此外,后门的功能以及对窃取敏感文件和访问KeePass和Telegram帐户的强调表明,攻击者有兴趣收集有关这些受害者的情报并了解更多关于他们的活动。参考来源:thehackernews
