一种新的间谍软件针对伊朗的Telegram和Psiphon VPN用户

Threat actors with suspected ties to Iran have been found to leverage instant messaging and VPN apps like Telegram and Psiphon to install a Windows remote access trojan (RAT) capable of stealing sensitive information from targets' devices since at least 2015.

俄罗斯网络安全公司卡巴斯基（Kaspersky）将此次行动归罪于它追踪的“凶猛小猫”高级持续威胁（APT）组织。该组织挑出了一些说波斯语的人，据称这些人居住在俄罗斯，同时成功地在雷达下行动。

卡巴斯基的全球研究和分析团队（GReAT）说：“针对Psiphon和Telegram这两种在伊朗非常流行的服务，突显了一个事实，即开发有效负载的目的是针对伊朗用户。”。

“此外，恶意文件显示的诱饵内容往往利用政治主题，涉及抵抗基地或针对伊朗政权的袭击的图像或视频，表明此次袭击的目标是伊朗境内此类运动的潜在支持者。”

卡巴斯基的发现来自于2020年7月和2021年3月上传到ViuStoTar的两个武器化文件，这些宏嵌入了宏，当启用时，将下一阶段有效载荷部署到一个新的植入物上。马基拉特.

后门允许对手广泛访问受害者的个人数据，包括记录击键、捕获剪贴板内容、下载和上传文件的功能，以及在受害者机器上执行任意命令的能力。

这似乎是为了扩大他们的武器库，攻击者还试验了MarkiRat的不同变体，发现它们可以拦截谷歌Chrome和Telegram等应用程序的执行，从而启动恶意软件，并将其永久固定在计算机上，同时也使其更难被检测或删除。其中一件被发现的文物还包括一个后门版本的Psiphon；一种开源VPN工具，通常用于逃避互联网审查。

最近的另一个变种涉及一个普通下载程序，它从硬编码域检索可执行文件，研究人员指出，“该样本的使用与该组织过去使用的有所不同，该组织过去使用的是恶意软件本身丢弃的有效载荷，这表明该组织可能正在更改其某些TTP。”

此外，据说指挥和控制基础设施还以DEX和APK文件的形式托管了Android应用程序，这增加了威胁参与者同时开发针对移动用户的恶意软件的可能性。

有趣的是，对手所采用的战术与其他针对类似目标（如家养猫咪和猖獗猫咪）的团队有重叠，卡巴斯基发现，参与者长时间使用同一套C2服务器，并试图从KeePass密码管理器收集信息的方式有相似之处。

研究人员总结道：“凶猛的小猫是一个在更广泛的生态系统中活动的演员的例子，目的是追踪伊朗的个体。”。“这类威胁群体似乎并不经常受到保护，因此可以随意重用基础设施和工具集，而不用担心它们被安全解决方案删除或标记。”