在中东地区发现持续6年的网络间谍行动

卡巴斯基发现了一系列针对伊朗境内讲波斯语人士的长期网络间谍活动。这种恶意行为幕后的威胁组织被称为Ferocious Kitten。该威胁组织至少从2015年起就开始活跃，并且使用一种被称为“MarkiRAT”的能够在受害者计算机上窃取数据和执行命令的定制恶意软件。该恶意软件还拥有能够劫持受感染用户Chrome浏览器以及Telegram应用程序的变种。

今年3月，一个可疑的诱饵文档被上传到VirusTotal，并通过Twitter上的一个帖子让公众了解到。注意到这条推文后，卡巴斯基研究人员决定进一步调查。他们发现的是针对伊朗讲波斯语人士的长达 6 年的监视活动。此后，他们将该活动背后的威胁行为者称为“Ferocious Kitten”。

Ferocious Kitten至少从2015年就开始活跃，使用包含恶意宏的诱饵文档来攻击受害者。这些文档会伪装成反对伊朗政权行动的图片或视频（抗议行动或抵抗组织的影像）。诱饵文件中的初始信息试图说服被攻击目标打开所附的图像或视频。一旦受害者同意这样做了，那么恶意的可执行文件就会被投放到目标系统中，同时在屏幕上显示诱饵内容。

诱饵信息，翻译自波斯语

这些可执行文件会释放主要的恶意有效载荷——是一款被称为“MarkiRAT”的定制恶意软件。一旦下载到受感染系统，MarkiRAT会启用键盘记录器，复制所有剪贴板的内容，并且录制所有键盘输入内容。MarkiRAT还能够为攻击者提供文件下载和上传功能，让他们有能力在受感染计算机上执行任意命令。

卡巴斯基研究人员还发现了多个其他MarkiRAT变种。其中一个变种能够拦截Telegram的执行并伴随其启动恶意软件。它通过在受感染的设备上搜索Telegram的内部数据存储库来实现这一行为。如果存在，MarkiRAT会将自己复制到这个存储库，然后修改启动Telegram的快捷方式，以执行这个经过修改的存储库和应用程序本身。

另一个变种会使用攻击Telegram的变种所使用的相似方法，修改设备的Chrome浏览器快捷方式。其结果是，每次用户启动Chrome浏览器时，真正的应用程序被运行，MarkiRAT的有效载荷与之一起被执行。另一个变种是Psiphon的后门版本，是一个经常被用来绕过互联网审查的开源VPN工具。卡巴斯基还发现证据显示，威胁行为者还开发了针对安卓设备的恶意植入物，尽管研究人员无法获得任何具体样本进行分析。

这些攻击活动的受害者似乎是位于伊朗的讲波斯语的人士。诱饵文件的内容表明，攻击者专门针对国内抗议运动的支持者。

“尽管MarkiRAT恶意软件和附带的工具集并不特别复杂，但有趣的是，该威胁组织为Chrome和Telegram创建了这种专门的变种。这表明，威胁行为者更专注于使现有工具集适应目标环境，而不是通过特性和功能来丰富它。该组织也很有可能针对不同的平台开展了多项活动，”全球研究和分析团队（GReAT）高级安全研究员Mark Lechtik评论说。

“我们还发现一个最近的普通变种，使用了下载器功能而非嵌入的有效载荷。这表明该组织仍然非常活跃，可能正在修改他们的战术、技术和程序，”全球研究和分析团队高级安全研究员Paul Rascagneres补充说。

“Ferocious Kitten的受害者情况与TTP与该地区的其他威胁行为者相似，即Domestic Kitten和Rampant Kitten。它们共同构成了针对伊朗的更广泛的监视活动生态系统。这种类型的威胁组织似乎很少被报道，使得他们可以长期保持隐蔽，不被发现，并使他们更容易重复使用他们的基础设施和工具集，”全球研究和分析团队安全研究员Aseel Kayal评论说。

更多有关Ferocious Kitten的详情，请访问Securelist.

为了保护您组织的员工免受Ferocious Kitten这样的APT的威胁，卡巴斯基专家给出以下建议：

• 对于恶意的，但是看上去很令人信服的邮件或信息保持警惕。并要始终了解您使用的所有应用程序和服务的隐私保护措施
• 不要点击来自未知来源的任何连接，也不要打开可疑的文件或附件
• 一定要安装更新。有些更新包含关键安全问题修复
• 使用一款适合您的系统类型和设备的强大安全解决方案，例如卡巴斯基安全软件或卡巴斯基安全云。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.