Badacze z firmy Kaspersky odkryli długotrwałą kampanię cyberszpiegowską wymierzoną w perskojęzyczne osoby w Iraku. Stojące za nią ugrupowanie – określone jako Ferocious Kitten – działa od co najmniej 2015 r. i rozprzestrzenia niestandardowe szkodliwe oprogramowanie o nazwie MarkiRAT, które kradnie dane i potrafi wykonywać polecenia na maszynie ofiary. Szkodnik posiada również wersje, które potrafią przejmować kontrolę nad przeglądarką Chrome oraz aplikacją Telegram użytkownika zainfekowanego urządzenia.
Ugrupowanie Ferocious Kitten, aktywne co najmniej od 2015 r., atakuje swoje ofiary przy użyciu dokumentów-wabików zawierających szkodliwe makra. Dokumenty te są ukrywane pod postacią zdjęć lub filmów przedstawiających działania przeciwko reżimowi irańskiemu. Początkowe wiadomości związane z dokumentami wabikami próbują przekonać potencjalną ofiarę do otwarcia załączonych zdjęć lub filmów. Jeśli ofiara wykona takie działanie, do jej systemu przesyłane są szkodliwe pliki wykonywalne, podczas gdy na ekranie w dalszym ciągu wyświetlana jest przynęta.
Pobierane pliki dostarczają główną szkodliwą funkcję – niestandardowe szkodliwe oprogramowanie o nazwie MarkiRAT. Po aktywacji w zainfekowanym systemie szkodnik inicjuje keyloggera, który kopiuje całą zawartość systemowego schowka i przechwytuje wszystkie znaki wprowadzane na klawiaturze. Ponadto MarkiRAT umożliwia atakującym pobieranie i przesyłanie plików oraz wykonywanie rozmaitych poleceń na zainfekowanej maszynie.
Badacze z firmy Kaspersky wykryli również kilka innych wariantów szkodnika MarkiRAT. Jeden z nich potrafi przechwytywać moment uruchamiania aplikacji Telegram i aktywować wraz z nią szkodliwe oprogramowanie. W tym celu MarkiRAT szuka na zainfekowanym urządzeniu repozytorium danych wewnętrznych Telegrama. Jeśli je znajdzie, kopiuje się do niego, a następnie dokonuje modyfikacji, w wyniku których szkodliwe moduły są uruchamianie wraz z Telegramem.
Inny wariant w podobny sposób modyfikuje skrót przeglądarki Chrome na zainfekowanym urządzeniu. W efekcie przy każdym uruchomieniu Chrome’a aktywowana jest wraz z nim szkodliwa funkcja MarkiRAT. Jeszcze inny wariant stanowi zawierającą backdoora wersję Psiphona – otwartego narzędzia VPN, które jest często wykorzystywane do obchodzenia cenzury w internecie. Badacze z firmy Kaspersky znaleźli również dowody na to, że ugrupowanie Ferocious Kitten przygotowało szkodliwe implanty atakujące urządzenia z systemem Android, jednak nie udało im się zdobyć konkretnych próbek do analizy.
Ofiarami opisywanej kampanii wydają się być osoby perskojęzyczne oraz mieszkające w Iraku. Zawartość dokumentów wabików sugeruje, że atakujący mają na celowniku zwolenników ruchów protestacyjnych w kraju.
– Chociaż szkodliwe oprogramowanie MarkiRAT i towarzyszący mu zestaw narzędzi nie są szczególnie wyrafinowane, interesujące jest to, że stojące za nim ugrupowanie przygotowało tak specjalistyczne warianty dla Chrome’a i Telegrama. To pokazuje, że cybergang skupia się na dostosowaniu posiadanego zestawu narzędzi do środowisk, które stanowią cel ataków. Niewykluczone, że ugrupowanie to prowadzi kilka kampanii wymierzonych w różne platformy – skomentował Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.
Pod względem ofiar, jak również stosowanych taktyk, technik oraz procedur Ferocious Kitten przypomina inne ugrupowania cyberprzestępcze w swoim regionie, a mianowicie Domestic Kitten oraz Rampant Kitten. Razem tworzą one większy ekosystem kampanii inwigilacyjnych w Iraku. O tego rodzaju ugrupowaniach nie słyszy się często, dlatego mogą przez długi czas pozostać niezauważone i łatwiej jest im ponownie wykorzystać swoją infrastrukturę oraz zestawy narzędzi – dodał Aseel Kayal, badacz ds. cyberbezpieczeństwa z zespołu GReAT.