هدف قرار دادن کاربران تلگرام و ویپیان سایفون در ایران
اخبار داغ فناوری اطلاعات و امنیت شبکه
بنا بر مستندات، عاملان تهدید و مشکوک به ارتباط با ایران از برنامه های پیام رسان و برنامه های VPN مانند Telegram و Psiphon برای نصب Trojan دسترسی از راه دور ویندوز (RAT) استفاده می کنند که حداقل از سال 2015، به وسیله آن قادر به سرقت اطلاعات حساس از دستگاه های اهداف خود هستند.
شرکت امنیت سایبری روسی کسپرسکی، که فعالیت های متفاوت در زمینه این اتفاقات بررسی کرده است، این مبارزات را به گروه تهدیدی مداوم پیشرفته (APT) نسبت داد که آن را تحت عنوان بچه گربه وحشی (Ferocious Kitten) میشناسند؛ گروهی از افراد فارسی زبان که ادعا می کند در این کشور مستقر هستند و به صورت تحت کنترل، فعالیت های سایبری خود را با موفقیت به انجام میرسانند.
تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) کسپرسکی اعلام کرد: "هدف قرار دادن سایفون و تلگرام، که هر دو سرویس های کاملاً پرطرفداری در ایران هستند، بر این واقعیت تأکید دارد که payload ها به قصد هدف قرار دادن کاربران ایرانی ساخته شده اند".
"علاوه بر این، در محتوای فریبنده نمایش داده شده توسط فایل های مخرب اغلب از مضامین سیاسی استفاده می شود و شامل تصاویر یا فیلم هایی از مراکز مخالفین یا اعتصابات علیه حکومت ایران است، که نشان می دهد این حمله کار حامیان بالقوه از این دست جنبش های در داخل کشور است".
یافته های کسپرسکی از دو فایل آلوده که در ژوئیه 2020 و مارس 2021 در VirusTotal بارگذاری شده اند و حاوی دستور ماکرو هستند، حکایت دارد؛ که با فعال شدنش، payload های مرحله بعدی را رها می کند تا بدافزار جدیدی به نام MarkiRat را مستقر کنند.
این Backdoor به مهاجمان اجازه دسترسی گسترده به داده های شخصی قربانی را می دهد که شامل ویژگی هایی برای ضبط فعالیت کلیدها، ضبط محتوای کلیپ بورد، بارگیری و بارگذاری فایل ها و همچنین امکان اجرای دستورات دلخواه بر روی دستگاه قربانی است.
در اقدامی که به نظر می رسد تلاش برای گسترش فعالیت مخرب مهاجمین است، آنها همچنین با آزمایش انواع مختلف MarkiRat که رهگیری اجرای برنامه هایی مانند گوگل کروم و تلگرام با همزمانی اجرای بدافزار و حفظ آسیب پذیری و تهاجم به کامپیوتر کاربر، امکان شناسایی و حذف این بدافزار بسیار دشوارتر میکند. یکی از موارد کشف شده شامل نسخه بکدور سایفون نیز می باشد.
یکی دیگر از نسخه های اخیر شامل یک دانلودر ساده است که یک فایل اجرایی را از یک دامنه کدگذاری شده بازیابی می کند و در پی آن محققان متذکر شدند که "استفاده از این روش، متفاوت از موارد استفاده شده توسط این گروه در گذشته است که در آن پیلود توسط خود بدافزار در سیستم مستقر میشده است و این نشان می دهد که گروه ممکن است در حال تغییر برخی از TTP های خود باشد".
بعلاوه گفته می شود که زیرساخت command-and-control همچنان میزبان برنامه های اندرویدی به صورت فایلهای DEX و APK بوده است و این احتمال را افزایش می دهد که عامل تهدید به طور همزمان در حال توسعه بدافزارهایی برای هدف قرار دادن کاربران تلفن همراه میباشد.
بسیار جالب توجه است که تاکتیک های مورد استفاده توسط مهاجم با دیگر گروه هایی مانند Domestic Kitten و Rampant Kitten که علیه اهداف مشابه فعالیت می کنند، همپوشانی دارد. زیرا کسپرسکی در نحوه استفاده مهاجم از همان مجموعه سرورهای C2 برای مدت زمان طولانی و تلاش برای جمع آوری اطلاعات را از مدیر رمز عبور KeePass، مستندات مشابهی را یافته است.
محققان نتیجه گیری کردند: "Ferocious Kitten نمونه عاملی است که در یک اکوسیستم وسیع تر با هدف ردیابی افراد در ایران فعالیت می کند. چنین گروه های تهدیدگری اغلب تحت پوشش قرار نمی گیرند و بنابراین می توانند با استفاده مجدد از زیرساخت ها و ابزارها و بدون نگرانی در مورد غیرفعال شدن یا شناخته شدن توسط نرم افزارهای امنیتی، به فعالیت خود ادامه دهند".
برچسب ها: سایفون, Rampant kitten, Ferocious kitten, Iran, MarkiRat, Psiphon, بک دور, Trojan, GReAT, وی پی ان, APT, cybersecurity, RAT, Domestic Kitten, ایران, VPN, Telegram, backdoor, امنیت سایبری, تلگرام, Cyber Attacks, حمله سایبری