Il a été découvert que des acteurs de la menace soupçonnés d’avoir des liens avec l’Iran exploitaient la messagerie instantanée et les applications VPN comme Telegram et Psiphon pour installer un cheval de Troie d’accès à distance (RAT) Windows capable de voler des informations sensibles sur les appareils des cibles depuis au moins 2015.
La société russe de cybersécurité Kaspersky, qui a reconstitué l’activité, a attribué la campagne à un groupe de menaces persistantes avancées (APT) qu’elle suit sous le nom de Ferocious Kitten, un groupe qui a distingué des individus de langue persane prétendument basés dans le pays tout en opérant avec succès sous le radar. .
« Le ciblage de Psiphon et Telegram, qui sont tous deux des services très populaires en Iran, souligne le fait que les charges utiles ont été développées dans le but de cibler les utilisateurs iraniens », a déclaré l’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT) mentionné.
« De plus, le contenu leurre affiché par les fichiers malveillants utilisait souvent des thèmes politiques et impliquait des images ou des vidéos de bases de résistance ou de frappes contre le régime iranien, suggérant que l’attaque vise les partisans potentiels de tels mouvements dans le pays. »
Les découvertes de Kaspersky émergent de deux documents armés qui ont été téléchargés sur VirusTotal en juillet 2020 et mars 2021 et qui sont intégrés à des macros, qui, lorsqu’elles sont activées, suppriment les charges utiles de la prochaine étape pour déployer un nouvel implant appelé MarkiRat.
La porte dérobée permet aux adversaires un large accès aux données personnelles d’une victime, comprenant des fonctionnalités pour enregistrer les frappes, capturer le contenu du presse-papiers, télécharger et télécharger des fichiers, ainsi que la possibilité d’exécuter des commandes arbitraires sur la machine victime.
Dans ce qui semble être une tentative d’étendre leur arsenal, les attaquants ont également expérimenté différentes variantes de MarkiRat qui se sont avérées intercepter l’exécution d’applications comme Google Chrome et Telegram pour lancer le malware et le maintenir constamment ancré à l’ordinateur en même temps. le temps, ce qui rend également beaucoup plus difficile d’être détecté ou supprimé. L’un des artefacts découverts comprend également une version dérobée de Psiphon; un outil VPN open source souvent utilisé pour échapper à la censure d’Internet.
Une autre variante récente implique un téléchargeur simple qui récupère un exécutable à partir d’un domaine codé en dur, les chercheurs notant que « l’utilisation de cet échantillon diverge de celles utilisées par le groupe dans le passé, où la charge utile a été supprimée par le logiciel malveillant lui-même, suggérant que le groupe est peut-être en train de modifier certains de ses TTP. »
De plus, l’infrastructure de commande et de contrôle aurait également hébergé des applications Android sous la forme de fichiers DEX et APK, ce qui soulève la possibilité que l’acteur de la menace développe également simultanément des logiciels malveillants destinés aux utilisateurs mobiles.
Fait intéressant, les tactiques adoptées par l’adversaire se chevauchent avec d’autres groupes qui opèrent contre des cibles similaires, comme Domestic Kitten et Rampant Kitten, Kaspersky trouvant des parallèles dans la façon dont l’acteur a utilisé le même ensemble de serveurs C2 sur de longues périodes et a tenté de recueillir des informations à partir du gestionnaire de mots de passe KeePass.
« Ferocious Kitten est un exemple d’acteur qui opère dans un écosystème plus large destiné à suivre les individus en Iran », ont conclu les chercheurs. « De tels groupes de menaces ne semblent pas être couverts si souvent et peuvent donc s’en tirer en réutilisant avec désinvolture l’infrastructure et les ensembles d’outils sans craindre qu’ils soient supprimés ou signalés par des solutions de sécurité. »
