Kaspersky İran’da Farsça konuşan şahıslara yönelik uzun müddettir devam eden bir siber casusluk kampanyasını ortaya Bahçelievler esc çıkardı En az 2015 yılından beri makûs niyetli aktifliklerin ardında yer alan ve Ferocious Kitten olarak isimlendirilen küme bilgileri çalmak ve hedeflenen aygıtta komutlar yürütmek için MarkiRAT isimli özel bir Bahçelievler escort makus maksatlı yazılımı kullanıyor Berbat maksatlı yazılımın ayrıyeten virüslü kullanıcının Chrome tarayıcısını ve Telegram uygulamasını ele geçirebilecek varyantları da bulunuyor
Bu yılın Mart ayında VirusTotal’a kuşkulu bir evrak yüklendi ve Yenibosna Olgun Escort Twitter’daki bir gönderiyle kamuoyunun bilgisine sunuldu Tweeti fark eden Kaspersky araştırmacıları daha fazla araştırma yapmaya karar verdi Buldukları şey İran’da Farsça konuşan şahıslara karşı yürütülen 6 yıllık bir nezaret kampanyasıydı Yenibosna Sınırsız Escort O vakitten beri kampanyanın ardındaki aktörler Ferocious Kitten ismiyle anılmaya başlandı
En az 2015’ten beri etkin olan Ferocious Kitten makus niyetli makrolar içeren düzmece evraklarla kurbanlarını gaye alıyor Bu dokümanlar Yenibosna Ucuz Escort İran rejimine karşı hareketleri gösteren imgeler yahut görüntüler protestolar yahut direniş kamplarından görüntüler halinde gizleniyor Geçersiz evraklardaki birinci bildiriler maksadı ekli fotoğrafları yahut görüntüleri açmak için ikna etmeye çalışıyor Kurban kabul ederse makus niyetli yürütülebilir evraklar hedeflenen sisteme bırakılıyor ve tuzak içerik ekranda görüntüleniyor
Bu yürütülebilir belgeler MarkiRAT olarak bilinen makûs maksatlı yükü bilgisayara indiriyor MarkiRAT virüs bulaşmış sisteme indirildikten sonra tüm pano içeriğini kopyalamak ve tüm tuş vuruşlarını kaydetmek için bir tuş kaydedici başlatıyor MarkiRAT ayrıyeten saldırganlara evrak indirme ve yükleme yetenekleri sağladığı üzere onlara virüslü makinede rastgele komutlar yürütme yeteneği de sunuyor
Kaspersky araştırmacıları birkaç öbür MarkiRAT varyantını da ortaya çıkardı Bunlardan biri Telegram’ın yürütülmesine müdahale etme ve birlikte makûs maksatlı yazılım başlatma yeteneğine sahip Bunu virüslü aygıtları Telegram’ın dahili data deposu içinde arayarak yapıyor Varsa MarkiRAT kendisini bu depoya kopyalıyor ve değiştirilmiş depoyu uygulamanın kendisiyle birlikte başlatmak için Telegram kısayolunu değiştiriyor
Başka bir varyant aygıtın Chrome tarayıcı kısayolunu Telegram’ı hedefleyen varyanta emsal biçimde değiştiriyor Sonuç olarak kullanıcı Chrome’u her başlattığında MarkiRAT da onunla birlikte çalışmaya başlıyor Yeniden diğer bir varyant internet sansürünü atlamak için sıklıkla kullanılan açık kaynaklı bir VPN aracı olan Psiphon’un art kapı sürümünden oluşuyor Kaspersky tahlil için rastgele bir özel örnek elde edememesine karşın bu işin ardındakilerin Android aygıtları gaye alan makus niyetli eklentiler geliştirdiğine dair deliller da buldu
Kampanyanın kurbanları Farsça konuşuyor ve muhtemelen İran’da yaşıyor Geçersiz evrakların içeriği saldırganların bilhassa ülke içindeki protesto hareketlerinin destekçilerinin peşine düşüldüğünü gösteriyor
Global Araştırma ve Tahlil Takımı GReAT Kıdemli Güvenlik Araştırmacısı Mark Lechtik şunları söz ediyor MarkiRAT berbat hedefli yazılımı ve beraberindeki araç seti karmaşık olmasa da kümenin Chrome ve Telegram için özel varyantlar oluşturması değişik bir yaklaşım Bu durum tehdit aktörlerinin mevcut araç setlerini yeni özellikler ve yeteneklerle zenginleştirmek yerine maksat ortamlarına uyarlamaya daha fazla odaklandıklarını gösteriyor
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres şunları ekliyor Ayrıca gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladık Bu kümenin hala çok etkin olduğunu taktiklerini tekniklerini ve prosedürlerini değiştirme sürecinde olabileceğini gösteriyor
GReAT Güvenlik Araştırmacısı Aseel Kayal şu değerlendirmede bulunuyor Ferocious Kitten’ın mağduriyeti ve TTP’leri bölgedeki öbür aktörlere yani Domestic Kitten ve Rampant Kitten e benziyor Bunlar birlikte İran’da daha geniş bir nezaret kampanyası ekosistemi oluşturuyorlar Bu çeşit tehdit kümeleri pek sık gündeme gelmemiş üzere görünüyor Bu da radar altında daha uzun mühlet kalmalarını mümkün kılıyor ve altyapılarını ve araç setlerini yine kullanmalarını kolaylaştırıyor
Ferocious Kitten hakkında daha fazla bilgiyi Securelist’te edinebilirsiniz
Kaspersky uzmanları kuruluşunuzun çalışanlarını Ferocious Kitten üzere APT’lerden korumak için aşağıdakileri öneriyor
Kaynak BHA Beyaz Haber Ajansı
