piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Kaspersky odkrywa 6-letnią kampanię cyberszpiegowską prowadzoną na Bliskim Wschodzie

    Zobacz również

    Badacze z firmy Kaspersky odkryli długotrwałą kampanię cyberszpiegowską wymierzoną w perskojęzyczne osoby w Iraku. Stojące za nią ugrupowanie – określone jako Ferocious Kitten – działa od co najmniej 2015 r. i rozprzestrzenia niestandardowe szkodliwe oprogramowanie o nazwie MarkiRAT, które kradnie dane i potrafi wykonywać polecenia na maszynie ofiary. Szkodnik posiada również wersje, które potrafią przejmować kontrolę nad przeglądarką Chrome oraz aplikacją Telegram użytkownika zainfekowanego urządzenia.

    - Reklama -

    Ugrupowanie Ferocious Kitten, aktywne co najmniej od 2015 r., atakuje swoje ofiary przy użyciu dokumentów-wabików zawierających szkodliwe makra. Dokumenty te są ukrywane pod postacią zdjęć lub filmów przedstawiających działania przeciwko reżimowi irańskiemu. Początkowe wiadomości związane z dokumentami wabikami próbują przekonać potencjalną ofiarę do otwarcia załączonych zdjęć lub filmów. Jeśli ofiara wykona takie działanie, do jej systemu przesyłane są szkodliwe pliki wykonywalne, podczas gdy na ekranie w dalszym ciągu wyświetlana jest przynęta.

    Pobierane pliki dostarczają główną szkodliwą funkcję – niestandardowe szkodliwe oprogramowanie o nazwie MarkiRAT. Po aktywacji w zainfekowanym systemie szkodnik inicjuje keyloggera, który kopiuje całą zawartość systemowego schowka i przechwytuje wszystkie znaki wprowadzane na klawiaturze. Ponadto MarkiRAT umożliwia atakującym pobieranie i przesyłanie plików oraz wykonywanie rozmaitych poleceń na zainfekowanej maszynie.

    Badacze z firmy Kaspersky wykryli również kilka innych wariantów szkodnika MarkiRAT. Jeden z nich potrafi przechwytywać moment uruchamiania aplikacji Telegram i aktywować wraz z nią szkodliwe oprogramowanie. W tym celu MarkiRAT szuka na zainfekowanym urządzeniu repozytorium danych wewnętrznych Telegrama. Jeśli je znajdzie, kopiuje się do niego, a następnie dokonuje modyfikacji, w wyniku których szkodliwe moduły są uruchamianie wraz z Telegramem.

    Inny wariant w podobny sposób modyfikuje skrót przeglądarki Chrome na zainfekowanym urządzeniu. W efekcie przy każdym uruchomieniu Chrome’a aktywowana jest wraz z nim szkodliwa funkcja MarkiRAT. Jeszcze inny wariant stanowi zawierającą backdoora wersję Psiphona – otwartego narzędzia VPN, które jest często wykorzystywane do obchodzenia cenzury w internecie. Badacze z firmy Kaspersky znaleźli również dowody na to, że ugrupowanie Ferocious Kitten przygotowało szkodliwe implanty atakujące urządzenia z systemem Android, jednak nie udało im się zdobyć konkretnych próbek do analizy.

    Ofiarami opisywanej kampanii wydają się być osoby perskojęzyczne oraz mieszkające w Iraku. Zawartość dokumentów wabików sugeruje, że atakujący mają na celowniku zwolenników ruchów protestacyjnych w kraju.

    – Chociaż szkodliwe oprogramowanie MarkiRAT i towarzyszący mu zestaw narzędzi nie są szczególnie wyrafinowane, interesujące jest to, że stojące za nim ugrupowanie przygotowało tak specjalistyczne warianty dla Chrome’a i Telegrama. To pokazuje, że cybergang skupia się na dostosowaniu posiadanego zestawu narzędzi do środowisk, które stanowią cel ataków. Niewykluczone, że ugrupowanie to prowadzi kilka kampanii wymierzonych w różne platformy – skomentował Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

    Pod względem ofiar, jak również stosowanych taktyk, technik oraz procedur Ferocious Kitten przypomina inne ugrupowania cyberprzestępcze w swoim regionie, a mianowicie Domestic Kitten oraz Rampant Kitten. Razem tworzą one większy ekosystem kampanii inwigilacyjnych w Iraku. O tego rodzaju ugrupowaniach nie słyszy się często, dlatego mogą przez długi czas pozostać niezauważone i łatwiej jest im ponownie wykorzystać swoją infrastrukturę oraz zestawy narzędzi – dodał Aseel Kayal, badacz ds. cyberbezpieczeństwa z zespołu GReAT.

    ŹródłoKaspersky Lab
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    Dołącz ze SkyCash do programu Mastercard Bezcenne Chwile

    Bezcenne Chwile to wyjątkowy program, w którym płatności pracują na Ciebie! Płać kartą Mastercard zarejestrowaną w programie w aplikacji SkyCash...