一种新的间谍软件针对伊朗的 Telegram 和 Psiphon VPN 用户

至少自 2015 年以来，已发现疑似与伊朗有联系的威胁行为者利用 Telegram 和 Psiphon 等即时消息和 VPN 应用程序安装 Windows 远程访问木马 (RAT)，该木马能够从目标设备中窃取敏感信息。

俄罗斯网络安全公司卡巴斯基将这些活动拼凑起来，将此次活动归因于一个高级持续威胁 (APT) 组织，它被追踪为 Ferocious Kitten，该组织专门挑选出据称在该国居住的讲波斯语的人，同时成功地在雷达下运作.

卡巴斯基全球研究与分析团队 (GReAT)表示： “针对赛风和 Telegram 这两项在伊朗非常受欢迎的服务，这突显了这样一个事实，即开发有效载荷的目的是针对伊朗用户。”

“此外，恶意文件显示的诱饵内容经常利用政治主题，涉及抵抗基地或打击伊朗政权的图像或视频，表明这次袭击是针对国内此类运动的潜在支持者。”

卡巴斯基的调查结果来自于 2020 年 7 月和 2021 年 3 月上传到 VirusTotal 的两份武器化文件，这些文件嵌入了宏，启用后会丢弃下一阶段的有效载荷以部署名为MarkiRat的新植入物。

该后门允许攻击者广泛访问受害者的个人数据，包括记录击键、捕获剪贴板内容、下载和上传文件的功能，以及在受害者机器上执行任意命令的能力。

为了扩大他们的武器库，攻击者还尝试了不同的 MarkiRat 变体，发现这些变体可以拦截 Google Chrome 和 Telegram 等应用程序的执行以启动恶意软件，并同时将其持续锚定到计算机上。时间也使得它更难被发现或移除。其中一个发现的文物还包括一个后门版本的赛风；一种经常用于逃避互联网审查的开源 VPN 工具。

另一个最近的变种涉及一个从硬编码域中检索可执行文件的普通下载器，研究人员指出，“该样本的使用与该组织过去使用的那些不同，后者的有效载荷是由恶意软件本身丢弃的，这表明该组织可能正在更改其某些 TTP。”

此外，据说命令和控制基础设施还托管了 DEX 和 APK 文件形式的 Android 应用程序，这增加了威胁行为者同时开发针对移动用户的恶意软件的可能性。

有趣的是，对手采用的策略与针对类似目标的其他组织重叠，例如家养小猫和猖獗的小猫，卡巴斯基发现攻击者长时间使用同一组 C2 服务器并试图从 KeePass 密码管理器收集信息。

研究人员总结说：“凶猛的小猫是在更广泛的生态系统中运作的一个例子，旨在追踪伊朗的个人。” “此类威胁组织似乎并不经常受到保护，因此可以随意重用基础设施和工具集，而不必担心它们会被安全解决方案删除或标记。”