ahmetbeyler
Active member
Şirketten yapılan açıklamaya göre, en az 2015 yılından beri makûs niyetli aktifliklerin gerisinde yer alan ve “Ferocious Kitten” olarak isimlendirilen küme, dataları çalmak ve hedeflenen aygıtta komutlar yürütmek için “MarkiRAT” isimli özel bir makûs emelli yazılımı kullanıyor. Berbat maksatlı yazılımın ayrıyeten virüslü kullanıcının Chrome tarayıcısını ve Telegram uygulamasını ele geçirebilecek varyantları da bulunuyor.
Bu yılın mart ayında VirusTotal’a kuşkulu bir evrak yüklendi ve Twitter’daki bir gönderiyle kamuoyunun bilgisine sunuldu. Tiviti fark eden Kaspersky araştırmacıları, daha fazla araştırma yapmaya karar verdi. Buldukları şey, İran’da Farsça konuşan bireylere karşı yürütülen 6 yıllık bir nezaret kampanyasıydı. bu biçimdedan beri kampanyanın ardındaki aktörler “Ferocious Kitten” ismiyle anılmaya başlandı.
En az 2015’ten beri faal olan “Ferocious Kitten”, makus niyetli makrolar içeren uydurma evraklarla kurbanlarını gaye alıyor. Bu dokümanlar, İran rejimine karşı aksiyonları gösteren manzaralar yahut görüntüler (protestolar yahut direniş kamplarından görüntüler) formunda gizleniyor.
Uydurma dokümanlardaki birinci bildiriler, amacı ekli fotoğrafları yahut görüntüleri açmak için ikna etmeye çalışıyor. Kurban kabul ederse makûs niyetli yürütülebilir belgeler hedeflenen sisteme bırakılıyor ve tuzak içerik ekranda görüntüleniyor.
Bu yürütülebilir evraklar, “MarkiRAT” olarak bilinen berbat emelli yükü bilgisayara indiriyor. MarkiRAT, virüs bulaşmış sisteme indirildikten daha sonra tüm pano içeriğini kopyalamak ve tüm tuş vuruşlarını kaydetmek için bir tuş kaydedici başlatıyor. MarkiRAT ayrıyeten, saldırganlara evrak indirme ve yükleme yetenekleri sağladığı üzere onlara virüslü makinede rastgele komutlar yürütme yeteneği de sunuyor.
Araştırmacılar, öteki MarkiRAT varyantını da ortaya çıkardı
Kaspersky araştırmacıları, birkaç diğer MarkiRAT varyantını da ortaya çıkardı. Bunlardan biri Telegram’ın yürütülmesine müdahale etme ve bir arada berbat emelli yazılım başlatma yeteneğine sahip. Bunu virüslü aygıtları Telegram’ın dahili data deposu ortasında arayarak yapıyor. var ise MarkiRAT kendisini bu depoya kopyalıyor ve değiştirilmiş depoyu uygulamanın kendisiyle bir arada başlatmak için Telegram kısayolunu değiştiriyor.
Diğer bir varyant, aygıtın Chrome tarayıcı kısayolunu Telegram’ı hedefleyen varyanta emsal biçimde değiştiriyor. Sonuç olarak kullanıcı Chrome’u her başlatmış olduğunda MarkiRAT da onunla birlikte çalışmaya başlıyor.
bir daha diğer bir varyant, internet sansürünü atlamak için çoğunlukla kullanılan açık kaynaklı bir VPN aracı olan Psiphon’un art kapı sürümünden oluşuyor. Kaspersky tahlil için rastgele bir özel örnek elde edememesine karşın bu işin ardındakilerin Android aygıtları amaç alan berbat niyetli eklentiler geliştirdiğine dair ispatlar da buldu.
Kampanyanın kurbanları Farsça konuşuyor ve muhtemelen İran’da yaşıyor. Uydurma dokümanların içeriği, saldırganların bilhassa ülke ortasındaki protesto hareketlerinin destekçilerinin peşine düştüğünü gösteriyor.
“Gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladık”
Açıklamada görüşlerine yer verilen Küresel Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, “MarkiRAT berbat hedefli yazılımı ve birlikteindeki araç seti karmaşık olmasa da kümenin Chrome ve Telegram için özel varyantlar oluşturması değişik bir yaklaşım. Bu durum, tehdit aktörlerinin mevcut araç setlerini yeni özellikler ve yeteneklerle zenginleştirmek yerine gaye ortamlarına uyarlamaya daha fazla odaklandıklarını gösteriyor.” tabirlerini kullandı.
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres ise gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladıklarını belirterek, bunun; kümenin hala hayli faal olduğunu, taktiklerini, tekniklerini ve prosedürlerini değiştirme sürecinde olabileceğini gösterdiğini kaydetti.
GReAT Güvenlik Araştırmacısı Aseel Kayal ise “Ferocious Kitten’ın mağduriyeti ve TTP’leri, bölgedeki öteki aktörlere, yani Domestic Kitten ve Rampant Kitten’e benziyor. Bunlar birlikte İran’da daha geniş bir nezaret kampanyası ekosistemi oluşturuyorlar. Bu çeşit tehdit kümeleri pek sık gündeme gelmemiş üzere görünüyor. Bu da radar altında daha uzun müddet kalmalarını mümkün kılıyor, altyapılarını ve araç setlerini bir daha kullanmalarını kolaylaştırıyor.” değerlendirmesinde bulundu.
Kaspersky uzmanları, kuruluşun çalışanlarını Ferocious Kitten üzere APT’lerden korumak için şunları öneriyor:
“Kötü niyetli, ikna edici e-postalara yahut bildirilere karşı dikkat edin. Kullandığınız tüm uygulama ve hizmetlerdeki saklılık tedbirlerinin her vakit farkında olun. Bilinmeyen kaynaklardan gelen hiç bir irtibata tıklamayın ve kuşkulu evrak yahut ekleri açmayın. Güncellemeleri ebediyen yükleyin. Kimileri kritik güvenlik meselelerine dair düzeltmeler içerebilir.”
Bu yılın mart ayında VirusTotal’a kuşkulu bir evrak yüklendi ve Twitter’daki bir gönderiyle kamuoyunun bilgisine sunuldu. Tiviti fark eden Kaspersky araştırmacıları, daha fazla araştırma yapmaya karar verdi. Buldukları şey, İran’da Farsça konuşan bireylere karşı yürütülen 6 yıllık bir nezaret kampanyasıydı. bu biçimdedan beri kampanyanın ardındaki aktörler “Ferocious Kitten” ismiyle anılmaya başlandı.
En az 2015’ten beri faal olan “Ferocious Kitten”, makus niyetli makrolar içeren uydurma evraklarla kurbanlarını gaye alıyor. Bu dokümanlar, İran rejimine karşı aksiyonları gösteren manzaralar yahut görüntüler (protestolar yahut direniş kamplarından görüntüler) formunda gizleniyor.
Uydurma dokümanlardaki birinci bildiriler, amacı ekli fotoğrafları yahut görüntüleri açmak için ikna etmeye çalışıyor. Kurban kabul ederse makûs niyetli yürütülebilir belgeler hedeflenen sisteme bırakılıyor ve tuzak içerik ekranda görüntüleniyor.
Bu yürütülebilir evraklar, “MarkiRAT” olarak bilinen berbat emelli yükü bilgisayara indiriyor. MarkiRAT, virüs bulaşmış sisteme indirildikten daha sonra tüm pano içeriğini kopyalamak ve tüm tuş vuruşlarını kaydetmek için bir tuş kaydedici başlatıyor. MarkiRAT ayrıyeten, saldırganlara evrak indirme ve yükleme yetenekleri sağladığı üzere onlara virüslü makinede rastgele komutlar yürütme yeteneği de sunuyor.
Araştırmacılar, öteki MarkiRAT varyantını da ortaya çıkardı
Kaspersky araştırmacıları, birkaç diğer MarkiRAT varyantını da ortaya çıkardı. Bunlardan biri Telegram’ın yürütülmesine müdahale etme ve bir arada berbat emelli yazılım başlatma yeteneğine sahip. Bunu virüslü aygıtları Telegram’ın dahili data deposu ortasında arayarak yapıyor. var ise MarkiRAT kendisini bu depoya kopyalıyor ve değiştirilmiş depoyu uygulamanın kendisiyle bir arada başlatmak için Telegram kısayolunu değiştiriyor.
Diğer bir varyant, aygıtın Chrome tarayıcı kısayolunu Telegram’ı hedefleyen varyanta emsal biçimde değiştiriyor. Sonuç olarak kullanıcı Chrome’u her başlatmış olduğunda MarkiRAT da onunla birlikte çalışmaya başlıyor.
bir daha diğer bir varyant, internet sansürünü atlamak için çoğunlukla kullanılan açık kaynaklı bir VPN aracı olan Psiphon’un art kapı sürümünden oluşuyor. Kaspersky tahlil için rastgele bir özel örnek elde edememesine karşın bu işin ardındakilerin Android aygıtları amaç alan berbat niyetli eklentiler geliştirdiğine dair ispatlar da buldu.
Kampanyanın kurbanları Farsça konuşuyor ve muhtemelen İran’da yaşıyor. Uydurma dokümanların içeriği, saldırganların bilhassa ülke ortasındaki protesto hareketlerinin destekçilerinin peşine düştüğünü gösteriyor.
“Gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladık”
Açıklamada görüşlerine yer verilen Küresel Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, “MarkiRAT berbat hedefli yazılımı ve birlikteindeki araç seti karmaşık olmasa da kümenin Chrome ve Telegram için özel varyantlar oluşturması değişik bir yaklaşım. Bu durum, tehdit aktörlerinin mevcut araç setlerini yeni özellikler ve yeteneklerle zenginleştirmek yerine gaye ortamlarına uyarlamaya daha fazla odaklandıklarını gösteriyor.” tabirlerini kullandı.
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres ise gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladıklarını belirterek, bunun; kümenin hala hayli faal olduğunu, taktiklerini, tekniklerini ve prosedürlerini değiştirme sürecinde olabileceğini gösterdiğini kaydetti.
GReAT Güvenlik Araştırmacısı Aseel Kayal ise “Ferocious Kitten’ın mağduriyeti ve TTP’leri, bölgedeki öteki aktörlere, yani Domestic Kitten ve Rampant Kitten’e benziyor. Bunlar birlikte İran’da daha geniş bir nezaret kampanyası ekosistemi oluşturuyorlar. Bu çeşit tehdit kümeleri pek sık gündeme gelmemiş üzere görünüyor. Bu da radar altında daha uzun müddet kalmalarını mümkün kılıyor, altyapılarını ve araç setlerini bir daha kullanmalarını kolaylaştırıyor.” değerlendirmesinde bulundu.
Kaspersky uzmanları, kuruluşun çalışanlarını Ferocious Kitten üzere APT’lerden korumak için şunları öneriyor:
“Kötü niyetli, ikna edici e-postalara yahut bildirilere karşı dikkat edin. Kullandığınız tüm uygulama ve hizmetlerdeki saklılık tedbirlerinin her vakit farkında olun. Bilinmeyen kaynaklardan gelen hiç bir irtibata tıklamayın ve kuşkulu evrak yahut ekleri açmayın. Güncellemeleri ebediyen yükleyin. Kimileri kritik güvenlik meselelerine dair düzeltmeler içerebilir.”