GSMService.pl
  • nowości
  • artykuły
  • gry
Szukaj
Szukaj
Szukaj
Tu jesteś: GSMService.pl » Aktualności

Kaspersky odkrywa 6-letnią kampanię cyberszpiegowską prowadzoną na Bliskim Wschodzie

Dodał: Monika Kowalczewska - opublikowano: 2021-06-16 14:39 - czytano: 227 razy - dodaj komentarz
Kaspersky odkrywa 6-letnią kampanię cyberszpiegowską prowadzoną na Bliskim WschodzieBadacze z firmy Kaspersky odkryli długotrwałą kampanię cyberszpiegowską wymierzoną w perskojęzyczne osoby w Iraku. Stojące za nią ugrupowanie – określone jako Ferocious Kitten – działa od co najmniej 2015 r. i rozprzestrzenia niestandardowe szkodliwe oprogramowanie o nazwie MarkiRAT, które kradnie dane i potrafi wykonywać polecenia na maszynie ofiary. Szkodnik posiada również wersje, które potrafią przejmować kontrolę nad przeglądarką Chrome oraz aplikacją Telegram użytkownika zainfekowanego urządzenia.
REKLAMA
Ugrupowanie Ferocious Kitten, aktywne co najmniej od 2015 r., atakuje swoje ofiary przy użyciu dokumentów-wabików zawierających szkodliwe makra. Dokumenty te są ukrywane pod postacią zdjęć lub filmów przedstawiających działania przeciwko reżimowi irańskiemu. Początkowe wiadomości związane z dokumentami wabikami próbują przekonać potencjalną ofiarę do otwarcia załączonych zdjęć lub filmów. Jeśli ofiara wykona takie działanie, do jej systemu przesyłane są szkodliwe pliki wykonywalne, podczas gdy na ekranie w dalszym ciągu wyświetlana jest przynęta.

Pobierane pliki dostarczają główną szkodliwą funkcję – niestandardowe szkodliwe oprogramowanie o nazwie MarkiRAT. Po aktywacji w zainfekowanym systemie szkodnik inicjuje keyloggera, który kopiuje całą zawartość systemowego schowka i przechwytuje wszystkie znaki wprowadzane na klawiaturze. Ponadto MarkiRAT umożliwia atakującym pobieranie i przesyłanie plików oraz wykonywanie rozmaitych poleceń na zainfekowanej maszynie.

Badacze z firmy Kaspersky wykryli również kilka innych wariantów szkodnika MarkiRAT. Jeden z nich potrafi przechwytywać moment uruchamiania aplikacji Telegram i aktywować wraz z nią szkodliwe oprogramowanie. W tym celu MarkiRAT szuka na zainfekowanym urządzeniu repozytorium danych wewnętrznych Telegrama. Jeśli je znajdzie, kopiuje się do niego, a następnie dokonuje modyfikacji, w wyniku których szkodliwe moduły są uruchamianie wraz z Telegramem.

Inny wariant w podobny sposób modyfikuje skrót przeglądarki Chrome na zainfekowanym urządzeniu. W efekcie przy każdym uruchomieniu Chrome’a aktywowana jest wraz z nim szkodliwa funkcja MarkiRAT. Jeszcze inny wariant stanowi zawierającą backdoora wersję Psiphona – otwartego narzędzia VPN, które jest często wykorzystywane do obchodzenia cenzury w internecie. Badacze z firmy Kaspersky znaleźli również dowody na to, że ugrupowanie Ferocious Kitten przygotowało szkodliwe implanty atakujące urządzenia z systemem Android, jednak nie udało im się zdobyć konkretnych próbek do analizy.

Ofiarami opisywanej kampanii wydają się być osoby perskojęzyczne oraz mieszkające w Iraku. Zawartość dokumentów wabików sugeruje, że atakujący mają na celowniku zwolenników ruchów protestacyjnych w kraju.

- Chociaż szkodliwe oprogramowanie MarkiRAT i towarzyszący mu zestaw narzędzi nie są szczególnie wyrafinowane, interesujące jest to, że stojące za nim ugrupowanie przygotowało tak specjalistyczne warianty dla Chrome’a i Telegrama. To pokazuje, że cybergang skupia się na dostosowaniu posiadanego zestawu narzędzi do środowisk, które stanowią cel ataków. Niewykluczone, że ugrupowanie to prowadzi kilka kampanii wymierzonych w różne platformy – skomentował Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Pod względem ofiar, jak również stosowanych taktyk, technik oraz procedur Ferocious Kitten przypomina inne ugrupowania cyberprzestępcze w swoim regionie, a mianowicie Domestic Kitten oraz Rampant Kitten. Razem tworzą one większy ekosystem kampanii inwigilacyjnych w Iraku. O tego rodzaju ugrupowaniach nie słyszy się często, dlatego mogą przez długi czas pozostać niezauważone i łatwiej jest im ponownie wykorzystać swoją infrastrukturę oraz zestawy narzędzi – dodał Aseel Kayal, badacz ds. cyberbezpieczeństwa z zespołu GReAT.
Źródło: Kaspersky Lab
  • Dodaj do Google Bookmarks
  • Dodaj na Śledzika
  • Dodaj na Twitter
  • Dodaj do Wykop
  • Dodaj do Facebook
Aktualna ocena: 0.00
Dodaj komentarz:
dodaj komentarz
x
Trwa logowanie użytkownika...
login:
hasło:
zaloguj
Trwa logowanie użytkownika...
login:
hasło:
zaloguj
Znajdź nas na Facebook'u
Wszelkie znaki i nazwy firmowe zastrzeżone są przez ich wlaścicieli i zostały użyte wyłącznie w celach informacyjnych.
GSMService.pl
content: 
  • Twitter
  • Facebook
odwiedź nas na: