Kaspersky, İran’da Farsça konuşan bireylere yönelik uzun müddettir devam eden bir siber casusluk kampanyasını ortaya çıkardı. En az 2015 yılından beri makûs niyetli aktifliklerin ardında yer alan ve Ferocious Kitten olarak isimlendirilen küme, bilgileri çalmak ve hedeflenen aygıtta komutlar yürütmek için “MarkiRAT” isimli özel bir makûs maksatlı yazılımı kullanıyor. Makus maksatlı yazılımın ayrıyeten virüslü kullanıcının Chrome tarayıcısını ve Telegram uygulamasını ele geçirebilecek varyantları da bulunuyor.
Bu yılın Mart ayında VirusTotal’a kuşkulu bir evrak yüklendi ve Twitter’daki bir gönderiyle kamuoyunun bilgisine sunuldu. Tweeti fark eden Kaspersky araştırmacıları daha fazla araştırma yapmaya karar verdi. Buldukları şey, İran’da Farsça konuşan bireylere karşı yürütülen 6 yıllık bir nezaret kampanyasıydı. O vakitten beri kampanyanın ardındaki aktörler “Ferocious Kitten” ismiyle anılmaya başlandı.
En az 2015’ten beri faal olan Ferocious Kitten, berbat niyetli makrolar içeren geçersiz evraklarla kurbanlarını amaç alıyor. Bu evraklar, İran rejimine karşı hareketleri gösteren imgeler yahut görüntüler (protestolar yahut direniş kamplarından görüntüler) halinde gizleniyor. Düzmece evraklardaki birinci iletiler, maksadı ekli fotoğrafları yahut görüntüleri açmak için ikna etmeye çalışıyor. Kurban kabul ederse, berbat niyetli yürütülebilir evraklar hedeflenen sisteme bırakılıyor ve tuzak içerik ekranda görüntüleniyor.
Bu yürütülebilir belgeler, “MarkiRAT” olarak bilinen makus hedefli yükü bilgisayara indiriyor. MarkiRAT, virüs bulaşmış sisteme indirildikten sonra tüm pano içeriğini kopyalamak ve tüm tuş vuruşlarını kaydetmek için bir tuş kaydedici başlatıyor. MarkiRAT ayrıyeten saldırganlara evrak indirme ve yükleme yetenekleri sağladığı üzere, onlara virüslü makinede rastgele komutlar yürütme yeteneği de sunuyor.
Kaspersky araştırmacıları, birkaç diğer MarkiRAT varyantını da ortaya çıkardı. Bunlardan biri Telegram’ın yürütülmesine müdahale etme ve birlikte makus gayeli yazılım başlatma yeteneğine sahip. Bunu virüslü aygıtları Telegram’ın dahili bilgi deposu içinde arayarak yapıyor. Varsa MarkiRAT kendisini bu depoya kopyalıyor ve değiştirilmiş depoyu uygulamanın kendisiyle birlikte başlatmak için Telegram kısayolunu değiştiriyor.
Başka bir varyant, aygıtın Chrome tarayıcı kısayolunu Telegram’ı hedefleyen varyanta benzeri halde değiştiriyor. Sonuç olarak kullanıcı Chrome’u her başlattığında MarkiRAT da onunla birlikte çalışmaya başlıyor. Tekrar öteki bir varyant, internet sansürünü atlamak için sıklıkla kullanılan açık kaynaklı bir VPN aracı olan Psiphon’un art kapı sürümünden oluşuyor. Kaspersky tahlil için rastgele bir özel örnek elde edememesine karşın, bu işin ardındakilerin Android aygıtları maksat alan makûs niyetli eklentiler geliştirdiğine dair deliller da buldu.
Kampanyanın kurbanları Farsça konuşuyor ve muhtemelen İran’da yaşıyor. Geçersiz evrakların içeriği, saldırganların bilhassa ülke içindeki protesto hareketlerinin destekçilerinin peşine düşüldüğünü gösteriyor.
Global Araştırma ve Tahlil Grubu (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları tabir ediyor: “MarkiRAT makûs maksatlı yazılımı ve beraberindeki araç seti karmaşık olmasa da, kümenin Chrome ve Telegram için özel varyantlar oluşturması enteresan bir yaklaşım. Bu durum tehdit aktörlerinin mevcut araç setlerini yeni özellikler ve yeteneklerle zenginleştirmek yerine, gaye ortamlarına uyarlamaya daha fazla odaklandıklarını gösteriyor.”
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres şunları ekliyor: “Ayrıca gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladık. Bu kümenin hala çok faal olduğunu, taktiklerini, tekniklerini ve prosedürlerini değiştirme sürecinde olabileceğini gösteriyor.”
GReAT Güvenlik Araştırmacısı Aseel Kayal, şu değerlendirmede bulunuyor: “Ferocious Kitten’ın mağduriyeti ve TTP’leri, bölgedeki öteki aktörlere, yani Domestic Kitten ve Rampant Kitten’e benziyor. Bunlar birlikte İran’da daha geniş bir nezaret kampanyası ekosistemi oluşturuyorlar. Bu tıp tehdit kümeleri pek sık gündeme gelmemiş üzere görünüyor. Bu da radar altında daha uzun müddet kalmalarını mümkün kılıyor ve altyapılarını ve araç setlerini tekrar kullanmalarını kolaylaştırıyor”
Ferocious Kitten hakkında daha fazla bilgiyi Securelist’te edinebilirsiniz.
Kaspersky uzmanları, kuruluşunuzun çalışanlarını Ferocious Kitten üzere APT’lerden korumak için aşağıdakileri öneriyor:
Kaynak: (BHA) – Beyaz Haber Ajansı
