Kaspersky, İran’da Farsça konuşan bireylere yönelik uzun müddettir devam eden bir siber casusluk kampanyasını ortaya çıkardı. En az 2015 yılından beri makûs niyetli aktifliklerin gerisinde yer alan ve Ferocious Kitten olarak isimlendirilen küme, bilgileri çalmak ve hedeflenen aygıtta komutlar yürütmek için “MarkiRAT” isimli özel bir makus maksatlı yazılımı kullanıyor. Berbat emelli yazılımın ayrıyeten virüslü kullanıcının Chrome tarayıcısını ve Telegram uygulamasını ele geçirebilecek varyantları da bulunuyor.
Bu yılın Mart ayında VirusTotal’a kuşkulu bir doküman yüklendi ve Twitter’daki bir gönderiyle kamuoyunun bilgisine sunuldu. Tweeti fark eden Kaspersky araştırmacıları daha fazla araştırma yapmaya karar verdi. Buldukları şey, İran’da Farsça konuşan bireylere karşı yürütülen 6 yıllık bir nezaret kampanyasıydı. O vakitten beri kampanyanın ardındaki aktörler “Ferocious Kitten” ismiyle anılmaya başlandı.
En az 2015’ten beri faal olan Ferocious Kitten, makus niyetli makrolar içeren geçersiz evraklarla kurbanlarını amaç alıyor. Bu dokümanlar, İran rejimine karşı aksiyonları gösteren imgeler yahut görüntüler (protestolar yahut direniş kamplarından görüntüler) formunda gizleniyor. Uydurma dokümanlardaki birinci bildiriler, amacı ekli fotoğrafları yahut görüntüleri açmak için ikna etmeye çalışıyor. Kurban kabul ederse, makûs niyetli yürütülebilir evraklar hedeflenen sisteme bırakılıyor ve tuzak içerik ekranda görüntüleniyor.
Bu yürütülebilir evraklar, “MarkiRAT” olarak bilinen berbat maksatlı yükü bilgisayara indiriyor. MarkiRAT, virüs bulaşmış sisteme indirildikten sonra tüm pano içeriğini kopyalamak ve tüm tuş vuruşlarını kaydetmek için bir tuş kaydedici başlatıyor. MarkiRAT ayrıyeten saldırganlara evrak indirme ve yükleme yetenekleri sağladığı üzere, onlara virüslü makinede rastgele komutlar yürütme yeteneği de sunuyor.
Kaspersky araştırmacıları, birkaç öteki MarkiRAT varyantını da ortaya çıkardı. Bunlardan biri Telegram’ın yürütülmesine müdahale etme ve birlikte makûs gayeli yazılım başlatma yeteneğine sahip. Bunu virüslü aygıtları Telegram’ın dahili bilgi deposu içinde arayarak yapıyor. Varsa MarkiRAT kendisini bu depoya kopyalıyor ve değiştirilmiş depoyu uygulamanın kendisiyle birlikte başlatmak için Telegram kısayolunu değiştiriyor.
Başka bir varyant, aygıtın Chrome tarayıcı kısayolunu Telegram’ı hedefleyen varyanta emsal halde değiştiriyor. Sonuç olarak kullanıcı Chrome’u her başlattığında MarkiRAT da onunla birlikte çalışmaya başlıyor. Tekrar diğer bir varyant, internet sansürünü atlamak için sıklıkla kullanılan açık kaynaklı bir VPN aracı olan Psiphon’un art kapı sürümünden oluşuyor. Kaspersky tahlil için rastgele bir özel örnek elde edememesine karşın, bu işin ardındakilerin Android aygıtları amaç alan makus niyetli eklentiler geliştirdiğine dair ispatlar da buldu.
Kampanyanın kurbanları Farsça konuşuyor ve muhtemelen İran’da yaşıyor. Uydurma evrakların içeriği, saldırganların bilhassa ülke içindeki protesto hareketlerinin destekçilerinin peşine düşüldüğünü gösteriyor.
Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları tabir ediyor: “MarkiRAT berbat gayeli yazılımı ve beraberindeki araç seti karmaşık olmasa da, kümenin Chrome ve Telegram için özel varyantlar oluşturması değişik bir yaklaşım. Bu durum tehdit aktörlerinin mevcut araç setlerini yeni özellikler ve yeteneklerle zenginleştirmek yerine, maksat ortamlarına uyarlamaya daha fazla odaklandıklarını gösteriyor.”
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres şunları ekliyor: “Ayrıca gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladık. Bu kümenin hala çok etkin olduğunu, taktiklerini, tekniklerini ve prosedürlerini değiştirme sürecinde olabileceğini gösteriyor.”
GReAT Güvenlik Araştırmacısı Aseel Kayal, şu değerlendirmede bulunuyor: “Ferocious Kitten’ın mağduriyeti ve TTP’leri, bölgedeki öteki aktörlere, yani Domestic Kitten ve Rampant Kitten’e benziyor. Bunlar birlikte İran’da daha geniş bir nezaret kampanyası ekosistemi oluşturuyorlar. Bu cins tehdit kümeleri pek sık gündeme gelmemiş üzere görünüyor. Bu da radar altında daha uzun müddet kalmalarını mümkün kılıyor ve altyapılarını ve araç setlerini tekrar kullanmalarını kolaylaştırıyor”
Ferocious Kitten hakkında daha fazla bilgiyi Securelist’te edinebilirsiniz.
Kaspersky uzmanları, kuruluşunuzun çalışanlarını Ferocious Kitten üzere APT’lerden korumak için aşağıdakileri öneriyor:
Kaynak: (BHA) – Beyaz Haber Ajansı
