猖獗的小猫花了六年攻击伊朗持不同政见者
检查点威胁研究人员发表了关于猖獗小猫的活动的新披露,这是一个伊朗国有支持的先进持续威胁(APT)集团,该持续威胁(APT)集团已经开展了六年的黑客运动,以间谍在受害者上,包括持不同议定书和成员全球伊朗侨民。
定位两个主要应用程序 - Secure Messaging App Telegram桌面和密码管理器Keepass - 猖獗的小猫主要使用恶意软件系数文档来引诱其目标感染他们的设备,以便他们可以窃取凭据并接管帐户,以及记录剪贴板数据并拍摄桌面。屏幕截图。
它们使用基于电报的内部更新程序的持久性机制,以便在受害者的设备中保持立足点。
“在进行研究后,几件事突出了,”威胁情报经理Leem Finkelsteen说。“首先,对即时通讯监控有人着眼于。虽然电报是萎缩的,但它显然可以衡量。即时通讯监控,特别是在电报上,是每个人都应该谨慎且意识到的东西。
“第二,移动,PC和Web网络钓鱼攻击都连接到相同的操作。根据技术挑战,根据智力和国家利益管理这些操作。我们将继续在全球监控不同的地理位置,以更好地通知公众周围网络安全。“
检查点表示,与猖獗的小猫活动相关的一些网站托管了网络钓鱼页面冒充电报 - 几个真正的伊朗电报渠道实际上向他们的用户发出了关于这些网络钓鱼网站的警告,声称政权在他们身后。
从假电报网站发送的网络钓鱼消息警告他们的收件人,他们正在不正确使用电报服务,如果他们没有点击网络钓鱼链接,他们的帐户将被阻止。
该调查还发现了与猖獗的小猫联系的恶意Android应用程序的证据,这些证据是伪装成旨在帮助生活在瑞典的波斯语演讲者的服务获得驾驶执照。
实际上,该应用程序充当后门,使恶意演员能够窃取短信,将双因素认证短信确认消息转发到由它们控制的电话号码,exfiltrate联系和帐户详细信息,以及设备信息(如已安装的应用)并运行进程,启动受损设备的即时环境的录音,并执行Google帐户网络钓鱼。
检查点的最新披露是在美国司法部收取的两个伊朗国民,大缅甸和梅哈迪·法哈迪的几天内出现,在一个10计数的起诉书中,指责他们对美国,欧洲和中东的目标进行协调的黑客攻击运动。包括持不同政见民事人,人权活动家和反对派领导者。
“这些伊朗国民据称,在新泽西州和世界各地的电脑上进行了广泛的竞选活动,”新泽西州地区的美国律师克雷根·卡宾尼斯表示。“他们肆无忌惮地渗透到电脑系统和有针对性的知识产权,并常常试图恐吓伊朗的敌人,包括在伊朗和世界各地争取人权的持不同政见者。
“这一行为威胁着我们的国家安全,因此,这些被告被联邦调查局致力于司法的逃犯。”
在他们的受害者中,是大学,思维坦克,国防承包商,外交政策组织,非政府组织,非政府组织,非营利组织,其他实体被确定为伊朗政权的“竞争对手或对手”。
除了窃取机密数据外,攻击者破坏了网站并发布了似乎发出伊朗敌人的消亡及其内部反对的消息。
他们使用各种方法访问受害者的系统,包括会话劫持和SQL注入。然后,它们使用键盘强台和远程访问特洛伊木马(RATS)来维护访问和监视用户。它们也被指责开发一个植物工具,便于恶意软件的传播,并使其能够进行拒绝服务攻击。