據(jù)稱，一名被懷疑來(lái)自伊朗的恐怖分子策劃了這場(chǎng)監(jiān)視活動(dòng)，其中至少由兩個(gè)不同的活動(dòng)組成——一個(gè)針對(duì)Windows系統(tǒng)，另一個(gè)針對(duì)安卓系統(tǒng)。活動(dòng)使用了包含大量入侵工具的武器庫(kù)，旨在竊取SMS消息中的個(gè)人文檔，密碼，電報(bào)消息和兩因素身份驗(yàn)證代碼。

網(wǎng)絡(luò)安全公司Check Point Research稱此次行動(dòng)為“Rampant Kitten”(猖獗的小貓)，而這套惡意軟件工具主要用于對(duì)付伊朗少數(shù)民族、反政府組織以及諸如阿什拉夫營(yíng)和自由居民家庭協(xié)會(huì)(AFALR)、阿塞拜疆民族抵抗組織等抵抗運(yùn)動(dòng)，以及俾路支省的公民。

Windows信息竊取者：瞄準(zhǔn)KeePass和Telegram

在每個(gè)Check Point中，感染鏈?zhǔn)紫缺蛔匪莸揭粋€(gè)帶有惡意軟件的Microsoft Word文檔(“The Regime Fears the Spread of the Revolutionary Cannons.docx”)，該文檔在打開(kāi)時(shí)會(huì)執(zhí)行下一階段的有效負(fù)載，以檢查在Windows系統(tǒng)上是否存Telegram應(yīng)用程序，然后刪除三個(gè)其他惡意可執(zhí)行文件以下載輔助模塊并從受害者的計(jì)算機(jī)中竊取相關(guān)的Telegram Desktop和KeePass文件。

這樣以后，滲透可以使攻擊者劫持個(gè)人的Telegram帳戶并竊取消息，并將所有具有特定擴(kuò)展名的文件聚集到受他們控制的服務(wù)器上。

該研究還證實(shí)了本周早些時(shí)候美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的一個(gè)警報(bào)，該警報(bào)詳細(xì)說(shuō)明了伊朗網(wǎng)絡(luò)參與者使用PowerShell腳本訪問(wèn)由KeePass密碼管理軟件存儲(chǔ)的加密密碼憑據(jù)。

更重要的是，Telegram帳戶中的信息是使用一種單獨(dú)的策略盜取的，該策略涉及到偽造Telegram的托管網(wǎng)絡(luò)釣魚(yú)頁(yè)面，包括使用偽造的功能更新消息來(lái)獲得未經(jīng)授權(quán)的帳戶訪問(wèn)權(quán)限。

Android信息竊取者：捕獲Google SMS 2FA代碼

Android后門具有記錄受感染手機(jī)周圍環(huán)境和檢索聯(lián)系人詳細(xì)信息的功能，它通過(guò)一個(gè)偽裝成服務(wù)的應(yīng)用程序安裝，以幫助瑞典的波斯語(yǔ)使用者獲得駕駛執(zhí)照。

值得注意的是，這個(gè)流氓應(yīng)用程序被設(shè)計(jì)成截獲所有以“G-”為前綴的短消息，并將其傳輸?shù)綇闹笓]控制(C2)服務(wù)器接收到的電話號(hào)碼上，這些短信通常用于谷歌基于短信的雙因素認(rèn)證(2FA)。這樣，攻擊者就可以通過(guò)合法的Google帳戶登錄屏幕捕獲受害者的Google帳戶憑證，繞過(guò)2FA。

Check Point表示，它發(fā)現(xiàn)了多個(gè)可追溯至2014年的惡意軟件變體，其中某些版本同時(shí)使用，并且兩者之間存在顯著差異，如用不同的編程語(yǔ)言編寫(xiě)，使用了多種通信協(xié)議，而且并不總是竊取相同類型的信息。

針對(duì)持不同政見(jiàn)者的監(jiān)視運(yùn)動(dòng)

考慮到針對(duì)“Rampant Kitten”(猖獗的小貓)精心挑選的目標(biāo)性質(zhì)，例如Mujahedin-e Khalq(MEK)和阿塞拜疆國(guó)家抵抗組織(ANRO)，黑客很可能是在伊朗政府的命令下工作的。此外，后門的功能以及對(duì)竊取敏感文件以及訪問(wèn)KeePass和Telegram帳戶的重視表明，攻擊者有興趣收集有關(guān)這些受害者的情報(bào)，并更多地了解其活動(dòng)。

參考來(lái)源：thehackernews