Kaspersky, İran’da Farsça konuşan şahıslara yönelik uzun müddettir devam eden bir siber casusluk kampanyasını ortaya çıkardı. En az 2015 yılından beri makus niyetli aktifliklerin gerisinde yer alan ve Ferocious Kitten olarak isimlendirilen küme, dataları çalmak ve hedeflenen aygıtta komutlar yürütmek için “MarkiRAT” isimli özel bir makus hedefli yazılımı kullanıyor. Berbat maksatlı yazılımın ayrıyeten virüslü kullanıcının Chrome tarayıcısını ve Telegram uygulamasını ele geçirebilecek varyantları da bulunuyor.
Bu yılın Mart ayında VirusTotal’a kuşkulu bir evrak yüklendi ve Twitter’daki bir gönderiyle kamuoyunun bilgisine sunuldu. Tweeti fark eden Kaspersky araştırmacıları daha fazla araştırma yapmaya karar verdi. Buldukları şey, İran’da Farsça konuşan şahıslara karşı yürütülen 6 yıllık bir nezaret kampanyasıydı. bu biçimdedan beri kampanyanın ardındaki aktörler “Ferocious Kitten” ismiyle anılmaya başlandı.
En az 2015’ten beri etkin olan Ferocious Kitten, makus niyetli makrolar içeren düzmece dokümanlarla kurbanlarını maksat alıyor. Bu dokümanlar, İran rejimine karşı hareketleri gösteren imajlar yahut görüntüler (protestolar yahut direniş kamplarından görüntüler) biçiminde gizleniyor. Uydurma evraklardaki birinci bildiriler, maksadı ekli fotoğrafları yahut görüntüleri açmak için ikna etmeye çalışıyor. Kurban kabul ederse, berbat niyetli yürütülebilir evraklar hedeflenen sisteme bırakılıyor ve tuzak içerik ekranda görüntüleniyor.
Bu yürütülebilir belgeler, “MarkiRAT” olarak bilinen makûs hedefli yükü bilgisayara indiriyor. MarkiRAT, virüs bulaşmış sisteme indirildikten daha sonra tüm pano içeriğini kopyalamak ve tüm tuş vuruşlarını kaydetmek için bir tuş kaydedici başlatıyor. MarkiRAT ayrıyeten saldırganlara belge indirme ve yükleme yetenekleri sağladığı üzere, onlara virüslü makinede rastgele komutlar yürütme yeteneği de sunuyor.
Kaspersky araştırmacıları, birkaç öbür MarkiRAT varyantını da ortaya çıkardı. Bunlardan biri Telegram’ın yürütülmesine müdahale etme ve birlikte makûs emelli yazılım başlatma yeteneğine sahip. Bunu virüslü aygıtları Telegram’ın dahili data deposu ortasında arayarak yapıyor. var ise MarkiRAT kendisini bu depoya kopyalıyor ve değiştirilmiş depoyu uygulamanın kendisiyle bir arada başlatmak için Telegram kısayolunu değiştiriyor.
Diğer bir varyant, aygıtın Chrome tarayıcı kısayolunu Telegram’ı hedefleyen varyanta benzeri biçimde değiştiriyor. Sonuç olarak kullanıcı Chrome’u her başlatmış olduğunda MarkiRAT da onunla bir arada çalışmaya başlıyor. bir daha öteki bir varyant, internet sansürünü atlamak için çoğunlukla kullanılan açık kaynaklı bir VPN aracı olan Psiphon’un art kapı sürümünden oluşuyor. Kaspersky tahlil için rastgele bir özel örnek elde edememesine karşın, bu işin ardındakilerin Android aygıtları maksat alan makûs niyetli eklentiler geliştirdiğine dair deliller da buldu.
Kampanyanın kurbanları Farsça konuşuyor ve muhtemelen İran’da yaşıyor. Uydurma dokümanların içeriği, saldırganların bilhassa ülke ortasındaki protesto hareketlerinin destekçilerinin peşine düşüldüğünü gösteriyor.
Küresel Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları tabir ediyor: “MarkiRAT makus maksatlı yazılımı ve birlikteindeki araç seti karmaşık olmasa da, kümenin Chrome ve Telegram için özel varyantlar oluşturması farklı bir yaklaşım. Bu durum tehdit aktörlerinin mevcut araç setlerini yeni özellikler ve yeteneklerle zenginleştirmek yerine, amaç ortamlarına uyarlamaya daha fazla odaklandıklarını gösteriyor.”
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres şunları ekliyor: “Ayrıca gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladık. Bu kümenin hala hayli etkin olduğunu, taktiklerini, tekniklerini ve prosedürlerini değiştirme sürecinde olabileceğini gösteriyor.”
GReAT Güvenlik Araştırmacısı Aseel Kayal, şu değerlendirmede bulunuyor: “Ferocious Kitten’ın mağduriyeti ve TTP’leri, bölgedeki başka aktörlere, yani Domestic Kitten ve Rampant Kitten’e benziyor. Bunlar bir arada İran’da daha geniş bir nezaret kampanyası ekosistemi oluşturuyorlar. Bu tıp tehdit kümeleri pek sık gündeme gelmemiş üzere görünüyor. Bu da radar altında daha uzun müddet kalmalarını mümkün kılıyor ve altyapılarını ve araç setlerini bir daha kullanmalarını kolaylaştırıyor”
Ferocious Kitten hakkında daha fazla bilgiyi Securelist’te edinebilirsiniz.
Kaspersky uzmanları, kuruluşunuzun çalışanlarını Ferocious Kitten üzere APT’lerden korumak için aşağıdakileri öneriyor:
Kaynak: (BHA) – Beyaz Haber Ajansı
Bu yılın Mart ayında VirusTotal’a kuşkulu bir evrak yüklendi ve Twitter’daki bir gönderiyle kamuoyunun bilgisine sunuldu. Tweeti fark eden Kaspersky araştırmacıları daha fazla araştırma yapmaya karar verdi. Buldukları şey, İran’da Farsça konuşan şahıslara karşı yürütülen 6 yıllık bir nezaret kampanyasıydı. bu biçimdedan beri kampanyanın ardındaki aktörler “Ferocious Kitten” ismiyle anılmaya başlandı.
En az 2015’ten beri etkin olan Ferocious Kitten, makus niyetli makrolar içeren düzmece dokümanlarla kurbanlarını maksat alıyor. Bu dokümanlar, İran rejimine karşı hareketleri gösteren imajlar yahut görüntüler (protestolar yahut direniş kamplarından görüntüler) biçiminde gizleniyor. Uydurma evraklardaki birinci bildiriler, maksadı ekli fotoğrafları yahut görüntüleri açmak için ikna etmeye çalışıyor. Kurban kabul ederse, berbat niyetli yürütülebilir evraklar hedeflenen sisteme bırakılıyor ve tuzak içerik ekranda görüntüleniyor.
Bu yürütülebilir belgeler, “MarkiRAT” olarak bilinen makûs hedefli yükü bilgisayara indiriyor. MarkiRAT, virüs bulaşmış sisteme indirildikten daha sonra tüm pano içeriğini kopyalamak ve tüm tuş vuruşlarını kaydetmek için bir tuş kaydedici başlatıyor. MarkiRAT ayrıyeten saldırganlara belge indirme ve yükleme yetenekleri sağladığı üzere, onlara virüslü makinede rastgele komutlar yürütme yeteneği de sunuyor.
Kaspersky araştırmacıları, birkaç öbür MarkiRAT varyantını da ortaya çıkardı. Bunlardan biri Telegram’ın yürütülmesine müdahale etme ve birlikte makûs emelli yazılım başlatma yeteneğine sahip. Bunu virüslü aygıtları Telegram’ın dahili data deposu ortasında arayarak yapıyor. var ise MarkiRAT kendisini bu depoya kopyalıyor ve değiştirilmiş depoyu uygulamanın kendisiyle bir arada başlatmak için Telegram kısayolunu değiştiriyor.
Diğer bir varyant, aygıtın Chrome tarayıcı kısayolunu Telegram’ı hedefleyen varyanta benzeri biçimde değiştiriyor. Sonuç olarak kullanıcı Chrome’u her başlatmış olduğunda MarkiRAT da onunla bir arada çalışmaya başlıyor. bir daha öteki bir varyant, internet sansürünü atlamak için çoğunlukla kullanılan açık kaynaklı bir VPN aracı olan Psiphon’un art kapı sürümünden oluşuyor. Kaspersky tahlil için rastgele bir özel örnek elde edememesine karşın, bu işin ardındakilerin Android aygıtları maksat alan makûs niyetli eklentiler geliştirdiğine dair deliller da buldu.
Kampanyanın kurbanları Farsça konuşuyor ve muhtemelen İran’da yaşıyor. Uydurma dokümanların içeriği, saldırganların bilhassa ülke ortasındaki protesto hareketlerinin destekçilerinin peşine düşüldüğünü gösteriyor.
Küresel Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları tabir ediyor: “MarkiRAT makus maksatlı yazılımı ve birlikteindeki araç seti karmaşık olmasa da, kümenin Chrome ve Telegram için özel varyantlar oluşturması farklı bir yaklaşım. Bu durum tehdit aktörlerinin mevcut araç setlerini yeni özellikler ve yeteneklerle zenginleştirmek yerine, amaç ortamlarına uyarlamaya daha fazla odaklandıklarını gösteriyor.”
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres şunları ekliyor: “Ayrıca gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladık. Bu kümenin hala hayli etkin olduğunu, taktiklerini, tekniklerini ve prosedürlerini değiştirme sürecinde olabileceğini gösteriyor.”
GReAT Güvenlik Araştırmacısı Aseel Kayal, şu değerlendirmede bulunuyor: “Ferocious Kitten’ın mağduriyeti ve TTP’leri, bölgedeki başka aktörlere, yani Domestic Kitten ve Rampant Kitten’e benziyor. Bunlar bir arada İran’da daha geniş bir nezaret kampanyası ekosistemi oluşturuyorlar. Bu tıp tehdit kümeleri pek sık gündeme gelmemiş üzere görünüyor. Bu da radar altında daha uzun müddet kalmalarını mümkün kılıyor ve altyapılarını ve araç setlerini bir daha kullanmalarını kolaylaştırıyor”
Ferocious Kitten hakkında daha fazla bilgiyi Securelist’te edinebilirsiniz.
Kaspersky uzmanları, kuruluşunuzun çalışanlarını Ferocious Kitten üzere APT’lerden korumak için aşağıdakileri öneriyor:
Kaynak: (BHA) – Beyaz Haber Ajansı