IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Domestic Kitten

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

APT جدیدی که احتمالا شهروندان ایرانی را هدف قرار داده است

به گزارش سایت ایفوسکیوریتی مگازین، پژوهشگران شرکت چکپوینت (Check Point) خبر از کشف یک عملیات نظارت بر تلفن همراه تحت حمایت دولت ایران دادند که شباهت بسیار زیادی  دارد به الگویعملیات‌هایقبلی کهتوسطدولتایرانعلیهافرادراه‌اندازی شده بود.Takian.ir Iranian APT Believed to Be Targeting Citizens

محققان یک حمله مبتنی بر تلفن همراه را کشف کرده‌اند که به گفته انها، شهروندان ایرانی را هدف قرار می‌دهد و از سال ۲۰۱۶ تحت پوشش رادارهای تشخیص قرار گرفته است. الگوهای حمله مشابه سایر حملات APT(تهدید دایمی پیشرفته ) ایران هستند، و محققان این کشف اخیر را " Domestic Kitten " نامیده‌اند که بااستفاده از "Rocket Kitten" و " Kitten Charming " به کار خود ادامه می‌دهند و گفته می‌شود که عبارت بچه‌گربه یا همان Kitten بازتاب سطح پایین احترام نسبت به روش‌های هک تلفن توسط گروه های هکری است.
این حمله از محتوای جعلی استفاده می‌کند تا اهداف خود را به دانلود برنامه‌های کاربردی تلفن همراه که مجهز به جاسوس افزار هستند ، جذب کند. بر طبق نظر محققان، برنامه‌های کاربردی تلفن همراه آندروید ازیک  تغییر دهنده Wallpaper با نام ISIS استفاده میکنند که ظاهرا حامیان سازمان تروریستی را هدف قرار می‌دهد.
علاوه بر این ، برنامه تلاش میکند که یک " بروزرسانی " تقلبی از سوی آژانس قانونی نیروی مبارزه با مواد مخدر کردستان را به منظور فریب اهداف با محتوای به ظاهر فریبنده ،نصب نماید. محتوای ارایه‌شده توسط این برنامه حاکی از آن است که اهداف گروه قومی کرد هستند. علاوه بر این، بازیگران این حمله از یک نسخه تقلبی از برنامه پیام‌رسانی Vidogram استفاده کرده‌اند.
این برنامه‌ها اطلاعات حساس را در مورد افراد مورد هدف جمع‌آوری می‌کنند ، جمع‌آوری داده‌ها از اهداف "تلفن همراه " که شامل لیست‌های تماس، سوابق تماس تلفنی، پیام‌های متنی، تاریخچه مرورگر وب و بوک مارها، اطلاعات مکانی از قربانی، عکس‌ها، ضبط صدا و چیزهای دیگر می‌شود.
گزارش‌ها حاکی از آن است که افرادی که شدیداً مورد هدف قرار گرفته‌اند، شامل بومیان کرد و ترک و حامیان داعش هستند. یکی از قوی‌ترین اشتراکات بین این حملات این است که اکثر ۲۴۰ نفر که شناسایی شده‌اند، شهروند ایرانی هستند.
در حالی که پژوهشگران عوامل دقیق پشت این حمله را شناسایی نکرده اند، آن‌ها از طریق مشاهدات خودمشخص کرده‌اند که ماهیت برنامه‌های کاربردی و زیرساخت حمله کار بازیگران ایرانی هستند.
محققان نوشته‌اند: "هدف چنین برنامه‌های نظارتی، افرادی و گروه‌هایی هستند که می‌تواند تهدیدی برای ثبات رژیم ایران باشد، و همچنین افراد و گروه های مورد حمایت دولت اسلامی عراق و شام واقلیت کرد که عمدتا در غرب ایران ساکن هستند."

این مطلب برگرفته از سایت اینفوسکیوریتی بوده و تاکیان هیچگونه نظر شخصی و تحقیقی در این مورد ندارد.

هدف قرار دادن کاربران تلگرام و وی‌پی‌ان سایفون در ایران

 takian.ir a new spyware is targeting iranian users of telegram and psiphon 1

بنا بر مستندات، عاملان تهدید و مشکوک به ارتباط با ایران از برنامه های پیام رسان و برنامه های VPN مانند Telegram و Psiphon برای نصب Trojan دسترسی از راه دور ویندوز (RAT) استفاده می کنند که حداقل از سال 2015، به وسیله آن قادر به سرقت اطلاعات حساس از دستگاه های اهداف خود هستند.

شرکت امنیت سایبری روسی کسپرسکی، که فعالیت های متفاوت در زمینه این اتفاقات بررسی کرده است، این مبارزات را به گروه تهدیدی مداوم پیشرفته (APT) نسبت داد که آن را تحت عنوان بچه گربه وحشی (Ferocious Kitten) میشناسند؛ گروهی از افراد فارسی زبان که ادعا می کند در این کشور مستقر هستند و به صورت تحت کنترل، فعالیت های سایبری خود را با موفقیت به انجام میرسانند.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) کسپرسکی اعلام کرد: "هدف قرار دادن سایفون و تلگرام، که هر دو سرویس های کاملاً پرطرفداری در ایران هستند، بر این واقعیت تأکید دارد که payload ها به قصد هدف قرار دادن کاربران ایرانی ساخته شده اند".

"علاوه بر این، در محتوای فریبنده نمایش داده شده توسط فایل های مخرب اغلب از مضامین سیاسی استفاده می شود و شامل تصاویر یا فیلم هایی از مراکز مخالفین یا اعتصابات علیه حکومت ایران است، که نشان می دهد این حمله کار حامیان بالقوه از این دست جنبش های در داخل کشور است".

یافته های کسپرسکی از دو فایل آلوده که در ژوئیه 2020 و مارس 2021 در VirusTotal بارگذاری شده اند و حاوی دستور ماکرو هستند، حکایت دارد؛ که با فعال شدنش، payload های مرحله بعدی را رها می کند تا بدافزار جدیدی به نام MarkiRat را مستقر کنند.

این Backdoor به مهاجمان اجازه دسترسی گسترده به داده های شخصی قربانی را می دهد که شامل ویژگی هایی برای ضبط فعالیت کلیدها، ضبط محتوای کلیپ بورد، بارگیری و بارگذاری فایل ها و همچنین امکان اجرای دستورات دلخواه بر روی دستگاه قربانی است.

takian.ir a new spyware is targeting iranian users of telegram and psiphon 2

در اقدامی که به نظر می رسد تلاش برای گسترش فعالیت مخرب مهاجمین است، آنها همچنین با آزمایش انواع مختلف MarkiRat که رهگیری اجرای برنامه هایی مانند گوگل کروم و تلگرام با همزمانی اجرای بدافزار و حفظ آسیب پذیری و تهاجم به کامپیوتر کاربر، امکان شناسایی و حذف این بدافزار بسیار دشوارتر میکند. یکی از موارد کشف شده شامل نسخه بک‌دور سایفون نیز می باشد.

یکی دیگر از نسخه های اخیر شامل یک دانلودر ساده است که یک فایل اجرایی را از یک دامنه کدگذاری شده بازیابی می کند و در پی آن محققان متذکر شدند که "استفاده از این روش، متفاوت از موارد استفاده شده توسط این گروه در گذشته است که در آن پی‌لود توسط خود بدافزار در سیستم مستقر میشده است و این نشان می دهد که گروه ممکن است در حال تغییر برخی از TTP های خود باشد".

بعلاوه گفته می شود که زیرساخت command-and-control همچنان میزبان برنامه های اندرویدی به صورت فایلهای DEX و APK بوده است و این احتمال را افزایش می دهد که عامل تهدید به طور همزمان در حال توسعه بدافزارهایی برای هدف قرار دادن کاربران تلفن همراه میباشد.

بسیار جالب توجه است که تاکتیک های مورد استفاده توسط مهاجم با دیگر گروه هایی مانند Domestic Kitten و Rampant Kitten که علیه اهداف مشابه فعالیت می کنند، همپوشانی دارد. زیرا کسپرسکی در نحوه استفاده مهاجم از همان مجموعه سرورهای C2 برای مدت زمان طولانی و تلاش برای جمع آوری اطلاعات را از مدیر رمز عبور KeePass، مستندات مشابهی را یافته است.

محققان نتیجه گیری کردند: "Ferocious Kitten نمونه عاملی است که در یک اکوسیستم وسیع تر با هدف ردیابی افراد در ایران فعالیت می کند. چنین گروه های تهدیدگری اغلب تحت پوشش قرار نمی گیرند و بنابراین می توانند با استفاده مجدد از زیرساخت ها و ابزارها و بدون نگرانی در مورد غیرفعال شدن یا شناخته شدن توسط نرم افزارهای امنیتی، به فعالیت خود ادامه دهند".