Eine neue Spyware zielt auf Telegram- und Psiphon-VPN-Nutzer im Iran

Cyber Security News

Es wurde festgestellt, dass Bedrohungsakteure mit mutmaßlichen Verbindungen zum Iran Instant-Messaging- und VPN-Apps wie Telegram und Psiphon nutzen, um einen Windows-Remote-Access-Trojaner (RAT) zu installieren, der mindestens seit 2015 in der Lage ist, sensible Informationen von den Geräten der Zielpersonen zu stehlen.

Die russische Cybersecurity-Firma Kaspersky, die die Aktivitäten zusammenstellte, schrieb die Kampagne einer APT-Gruppe (Advanced Persistent Threat) zu, die sie als Ferocious Kitten verfolgt, eine Gruppe, die persischsprachige Personen auswählt, die angeblich im Land ansässig sind und erfolgreich unter dem Radar operieren.

“Das Anvisieren von Psiphon und Telegram, beides sehr beliebte Dienste im Iran, unterstreicht die Tatsache, dass die Payloads mit dem Ziel entwickelt wurden, iranische Benutzer ins Visier zu nehmen”, so Kasperskys Global Research and Analysis Team (GReAT).

[Blocked Image: https://thehackernews.com/images/-47zu7MyXZRk/YMIYK02PHjI/AAAAAAAA4F4/FzLOaUNORF8YXBwIwZ-0NsFEJktL60cvQCLcBGAsYHQ/s728-e100/1-728-5.png]

“Darüber hinaus verwendeten die von den Schaddateien angezeigten Täuschungsinhalte häufig politische Themen und beinhalteten Bilder oder Videos von Widerstandsbasen oder Streiks gegen das iranische Regime, was darauf schließen lässt, dass der Angriff auf potenzielle Unterstützer solcher Bewegungen im Land abzielt.”

Kasperskys Erkenntnisse stammen von zwei waffenfähigen Dokumenten, die im Juli 2020 und März 2021 bei VirusTotal hochgeladen wurden und in Makros eingebettet sind, die, wenn sie aktiviert werden, Next-Stage-Payloads abwerfen, um ein neues Implantat namens MarkiRat zu installieren.

Die Backdoor ermöglicht Angreifern einen weitreichenden Zugriff auf die persönlichen Daten eines Opfers und umfasst Funktionen zum Aufzeichnen von Tastatureingaben, zum Erfassen von Inhalten der Zwischenablage, zum Herunter- und Hochladen von Dateien sowie die Möglichkeit, beliebige Befehle auf dem Computer des Opfers auszuführen.

[Blocked Image: https://thehackernews.com/images/-XwwL81K_xMo/YMsg5MeWmtI/AAAAAAAAC5Y/jg1pWNRYQZEs1c3NNMknBl2x54aCx6z0wCLcBGAsYHQ/s0/malware.jpg]

In einem Versuch, ihr Arsenal zu erweitern, experimentierten die Angreifer auch mit verschiedenen Varianten von MarkiRat, die die Ausführung von Apps wie Google Chrome und Telegram abfangen, um die Malware zu starten und sie dauerhaft auf dem Computer zu verankern, was es gleichzeitig deutlich schwieriger macht, entdeckt oder entfernt zu werden. Zu den entdeckten Artefakten gehört auch eine getarnte Version von Psiphon, einem Open-Source-VPN-Tool, das häufig zur Umgehung der Internetzensur verwendet wird.

Eine weitere aktuelle Variante beinhaltet einen einfachen Downloader, der eine ausführbare Datei von einer fest kodierten Domain abruft. Die Forscher stellen fest, dass “die Verwendung dieses Beispiels von den von der Gruppe in der Vergangenheit verwendeten abweicht, bei denen die Nutzlast von der Malware selbst abgeworfen wurde, was darauf hindeutet, dass die Gruppe möglicherweise dabei ist, einige ihrer TTPs zu ändern.”

[Blocked Image: https://thehackernews.com/images/-azy2o-jUy8I/YLy9OO3scVI/AAAAAAAA4BY/75hsq3eOBOQsJbLGxKzF4tx3ZGV010RVwCLcBGAsYHQ/s728-e100/ransomware_728.jpg]

Darüber hinaus soll die Command-and-Control-Infrastruktur auch Android-Anwendungen in Form von DEX- und APK-Dateien gehostet haben, was die Möglichkeit aufkommen lässt, dass der Bedrohungsakteur gleichzeitig auch Malware für mobile Benutzer entwickelt.

Interessanterweise überschneidet sich die Taktik des Angreifers mit der anderer Gruppen, die gegen ähnliche Ziele vorgehen, wie Domestic Kitten und Rampant Kitten. Kaspersky fand Parallelen in der Art und Weise, wie der Akteur über längere Zeiträume dieselbe Reihe von C2-Servern verwendete und versuchte, Informationen aus dem KeePass-Passwortmanager zu sammeln.

“Ferocious Kitten ist ein Beispiel für einen Akteur, der in einem breiteren Ökosystem operiert, das darauf abzielt, Einzelpersonen im Iran zu verfolgen”, schlussfolgerten die Forscher. “Solche Bedrohungsgruppen scheinen nicht so oft erfasst zu werden und können daher mit der beiläufigen Wiederverwendung von Infrastruktur und Toolsets davonkommen, ohne sich Sorgen machen zu müssen, dass sie von Sicherheitslösungen abgeschaltet oder markiert werden.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com