Иранские хакеры атакуют местных жителей, представляя угрозу действующему режиму

Специалисты ИБ-компании Check Point рассказали о кибероперациях, проводимых APT-группировкой Domestic Kitten. Группировка, также известная как APT-C-50, впервые была обнаружена в 2018 году и предположительно связана с правительством Ирана. По словам исследователей, Domestic Kitten атакует пользователей на территории Ирана и «может представлять угрозу стабильности режима» в стране. В числе ее жертв – противники действующего режима, правозащитники и активисты, журналисты и юристы.

Согласно новой публикации специалистов Check Point, в течение последних четырех лет Domestic Kitten осуществляла масштабную слежку за пользователями и провела не менее десяти отдельных вредоносных кампаний, а ее жертвами стали как минимум 1,2 тыс. человек.

В настоящее время специалисты зафиксировали четыре активные кампании, и самая последняя из них началась в ноябре прошлого года. Ее жертвами являются пользователи по всему миру, в том числе в Иране, США, Пакистане и Турции.

Группировка использует вредоносное ПО FurBall, базирующееся на коммерческом инструменте для мониторинга KidLogger. По словам специалистов, авторы вредоноса «либо получили исходный код KidLogger, либо осуществили реверс-инжиниринг его образца и убрали все лишние детали, а затем добавили дополнительные возможности».

FurBall распространяется по нескольким векторам, в том числе с помощью фишинга, web-сайтов, Telegram-каналов и SMS-сообщений с вредоносными ссылками. Для того чтобы обмануть жертву и заставить ее установить вредоносное ПО, группировка использует несколько уловок. К примеру, FurBall маскируется под мобильное антивирусное решение VIPRE, приложения новостных агентств, мобильные игры, магазины приложений, приложения ресторанов и обои рабочего стола.

После установки на атакуемое устройство вредонос может перехватывать SMS-сообщения и журналы звонков, собирать данные об устройстве, записывать разговоры, похищать медиафайлы, отслеживать GPS-координаты устройства и пр. Собранную информацию FurBall передает на C&C-серверы, подконтрольные группировке с 2018 года. Связанные с ними IP-адреса находятся в Иране.Источник: https://www.securitylab.ru/news/516351.php