Spyware Baru Menargetkan Pengguna VPN Telegram dan Psiphon di Iran

  • Whatsapp
Spyware Baru Menargetkan Pengguna VPN Telegram dan Psiphon di Iran

Pelaku ancaman yang diduga memiliki hubungan dengan Iran diketahui memanfaatkan pesan instan dan aplikasi VPN seperti Telegram dan Psiphon untuk menginstal trojan akses jarak jauh (RAT) Windows yang mampu mencuri informasi sensitif dari perangkat target setidaknya sejak 2015.

Perusahaan keamanan siber Rusia Kaspersky, yang menyatukan aktivitas tersebut, mengaitkan kampanye tersebut dengan kelompok ancaman persisten tingkat lanjut (APT) yang dilacaknya sebagai Ferocious Kitten, sebuah kelompok yang telah memilih individu berbahasa Persia yang diduga berbasis di negara tersebut saat berhasil beroperasi di bawah radar. .

Bacaan Lainnya

“Penargetan Psiphon dan Telegram, keduanya merupakan layanan yang cukup populer di Iran, menggarisbawahi fakta bahwa muatan dikembangkan dengan tujuan untuk menargetkan pengguna Iran,” kata Tim Riset dan Analisis Global (GReAT) Kaspersky. berkata.

Tim Stack Overflow

“Selain itu, konten umpan yang ditampilkan oleh file jahat sering kali menggunakan tema politik dan melibatkan gambar atau video dari basis perlawanan atau serangan terhadap rezim Iran, menunjukkan bahwa serangan itu ditujukan pada pendukung potensial gerakan semacam itu di dalam negeri.”

Temuan Kaspersky muncul dari dua dokumen yang dipersenjatai yang diunggah ke VirusTotal pada Juli 2020 dan Maret 2021 yang disematkan dengan makro, yang, ketika diaktifkan, menurunkan muatan tahap berikutnya untuk memasang implan baru yang disebut MarkiRat.

Pintu belakang memungkinkan musuh mengakses data pribadi korban secara luas, yang terdiri dari fitur untuk merekam penekanan tombol, menangkap konten papan klip, mengunduh dan mengunggah file, serta kemampuan untuk menjalankan perintah sewenang-wenang pada mesin korban.

Dalam upaya untuk memperluas persenjataan mereka, para penyerang juga bereksperimen dengan berbagai varian MarkiRat yang ditemukan untuk mencegat eksekusi aplikasi seperti Google Chrome dan Telegram untuk meluncurkan malware dan membuatnya tetap berlabuh ke komputer pada saat yang sama. waktu juga membuatnya lebih sulit untuk dideteksi atau dihapus. Salah satu artefak yang ditemukan juga termasuk versi pintu belakang Psiphon; alat VPN sumber terbuka yang sering digunakan untuk menghindari sensor internet.

Varian terbaru lainnya melibatkan pengunduh biasa yang mengambil executable dari domain hardcoded, dengan para peneliti mencatat bahwa “penggunaan sampel ini berbeda dari yang digunakan oleh grup di masa lalu, di mana muatan dijatuhkan oleh malware itu sendiri, menunjukkan bahwa grup mungkin sedang dalam proses mengubah beberapa TTP-nya.”

Manajemen Kata Sandi Perusahaan

Terlebih lagi, infrastruktur command-and-control juga dikatakan telah menghosting aplikasi Android dalam bentuk file DEX dan APK, meningkatkan kemungkinan bahwa aktor ancaman juga secara bersamaan mengembangkan malware yang ditujukan untuk pengguna ponsel.

Menariknya, taktik yang diadopsi oleh musuh tumpang tindih dengan kelompok lain yang beroperasi terhadap target serupa, seperti Kucing Domestik dan Kucing Rampant, dengan Kaspersky menemukan kesamaan dalam cara aktor menggunakan set server C2 yang sama selama periode waktu yang lama dan berusaha untuk mengumpulkan informasi dari pengelola kata sandi KeePass.

“Anak Kucing Ganas adalah contoh aktor yang beroperasi di ekosistem yang lebih luas yang dimaksudkan untuk melacak individu di Iran,” para peneliti menyimpulkan. “Kelompok ancaman seperti itu tampaknya tidak sering tercakup dan oleh karena itu dapat lolos dengan menggunakan kembali infrastruktur dan perangkat tanpa khawatir akan dihapus atau ditandai oleh solusi keamanan.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *