Comunicato stampa
76KB
giugno 17, 2021 - Kaspersky Lab
scoperta una campagna di cyberspionaggio attiva da 6 anni nel Medio Oriente
I ricercatori di #Kaspersky hanno scoperto una campagna di cyber-spionaggio condotta da anni ai danni degli utenti di lingua persiana in #iran. Il gruppo dietro l'attività malevola, conosciuto come #ferociouskitten, è attivo almeno dal 2015 e distribuisce un malware personalizzato chiamato "MarkiRAT" in grado di esfiltrare dati ed eseguire comandi sul dispositivo della vittima. Il malware ha anche varianti che possono hackerare il browser Chrome dell'utente infetto e la sua #app Telegram.
Nel marzo di quest'anno, un documento sospetto è stato caricato su VirusTotal e successivamente divulgato tramite un post su Twitter. I ricercatori di #Kaspersky hanno pertanto deciso di condurre ulteriori indagini e hanno scoperto una campagna di sorveglianza in atto da 6 anni ai danni degli utenti di lingua persiana in #iran. I ricercatori hanno denominato l'attore dietro la campagna "Ferocious Kitten".
Ferocious Kitten, un gruppo attivo almeno dal 2015, utilizza dei documenti-esca contenenti macro dannose per prendere di mira le sue vittime. All’apparenza, questi documenti si presentano come video o immagini contro il regime iraniano (proteste o filmati dei campi di resistenza). I messaggi iniziali contenuti nei documenti esca spingono l’utente ad abilitare la riproduzione dei video e delle immagini allegate. Se la vittima riproduce il contenuto del file-esca sullo schermo, sul sistema preso di mira vengono rilasciati questi eseguibili malevoli.
I am Hussein Jafari I was a prisoner of the regime during 1363-64. Add my name to the prisoners’ statement of Iraj Mesdaghi about the bloodthirsty mercenary. Please use the nickname Jafar for my own #safety and my family. Hussein Jafari July 1399 |
Un messaggio-esca tradotto dal persiano
Gli eseguibili rilasciano il principale payload malevolo, un malware personalizzato noto come "MarkiRAT". Una volta scaricato sul sistema infetto, #MarkiRAT avvia un keylogger per copiare tutto il contenuto degli appunti e per registrare le sequenze di tasti digitati. #MarkiRAT fornisce agli attaccanti anche funzionalità di download e upload di file e dà loro la possibilità di eseguire comandi arbitrari sul dispositivo infetto.
I ricercatori di #Kaspersky hanno scoperto diverse varianti di MarkiRAT. Una versione è in grado di intercettare l'esecuzione di Telegram e lanciare il malware insieme all’applicazione. In questo caso, #MarkiRAT cerca il repository di dati interni di Telegram nel dispositivo infetto e crea una copia di sé stesso. Successivamente, modifica il collegamento utilizzato per aprire Telegram ed eseguire il repository modificato insieme all'applicazione stessa.
Un'altra variante modifica il collegamento del browser Chrome del dispositivo, operando in modo simile alla variante che prende di mira Telegram. A ogni avvio di Chrome, vengono contemporaneamente eseguiti l'applicazione reale e il payload di #MarkiRAT. Una terza variante è una versione backdoored di Psiphon, uno strumento VPN open source spesso utilizzato per aggirare la censura di Internet. Nonostante i ricercatori non siano stati in grado di ottenere alcun campione specifico per l'analisi, #Kaspersky ha constatato che gli autori della minaccia hanno sviluppato impianti dannosi che prendono di mira i dispositivi Android.
Questa campagna sembra essere indirizzata agli utenti di lingua persiana situati in #iran. Il contenuto dei documenti usati come esca suggerisce che gli attaccanti mirino a colpire i sostenitori dei movimenti di protesta all'interno del Paese.
"Nonostante il malware #MarkiRAT e il suo set di strumenti non siano particolarmente sofisticati, è interessante che il gruppo abbia creato varianti specifiche per Chrome e Telegram. Ciò lascia intendere che gli autori della minaccia preferiscano adattare il loro set di strumenti esistenti agli ambienti presi di mira, piuttosto che apportarvi nuove caratteristiche e funzionalità. È anche molto probabile che il gruppo stia conducendo diverse campagne mirate ai danni di diverse piattaforme", ha dichiarato Mark Lechtik, Senior Security Researcher del Global Research and Analysis Team (GReAT).
"Abbiamo rilevato anche una variante più recente che utilizza un downloader invece di un payload incorporato. Da questo possiamo dedurre che il gruppo sia ancora molto attivo e potrebbe essere in procinto di modificare le proprie tattiche, tecniche e procedure (TTP)", ha aggiunto Paul Rascagneres, Senior Security Researcher di GReAT.
"Il profilo delle vittime e le TTP di #ferociouskitten sono simili a quelle di altri cybercriminali della regione, ovvero Domestic Kitten e Rampant Kitten. Insieme, formano un più ampio ecosistema di campagne di sorveglianza in #iran. Questi tipi di threat group non vengono analizzati di frequente, il che permette loro di evitare il rilevamento per lunghi periodi di tempo e rende più facile riutilizzare le loro infrastrutture e set di strumenti", ha concluso Aseel Kayal, Security Researcher di GReAT.
Maggiori informazioni su Ferocius Kitten sono disponibili su Securelist.
Per proteggere i dipendenti aziendali da APT come #ferociouskitten, gli esperti di #Kaspersky raccomandano di:
- Prestare attenzione alle e-mail o ai messaggi sospetti ed essere sempre consapevoli delle protezioni della privacy all'interno di tutte le #app e i servizi utilizzati
Non cliccare su nessun link ricevuto da mittenti sconosciuti e non aprire nessun file o allegato sospetto
Installare sempre gli aggiornamenti. Alcuni di essi possono contenere correzioni a problemi critici di sicurezza.
Utilizzare una soluzione di sicurezza affidabile e adatta al tipo di sistema e ai dispositivi in uso, come #Kaspersky Internet Security o #Kaspersky Security Cloud.
Maggiori informazioni nel comunicato stampa da scaricare
Scarica tutto 
Condividi
Condividi via mail 
Automotive
Sport
Events
Art&Culture
Design
Fashion&Beauty
Food&Hospitality
Tecnologia
Nautica
Racing
Excellence
Corporate
OffBeat
Green
Gift
Pop
Heritage
Entertainment
Health & Wellness