【安全资讯】Ferocious Kitten组织在过去6年内对伊朗公民进行网络监视

研究人员发现伊朗的APT组织Ferocious Kitten在过去六年中一直在伊朗国内进行网络监视行动。Ferocious Kitten自 2015 年以来一直活跃，针对伊朗的移动用户，部署MarkiRAT恶意软件，该软件能够记录击键、剪贴板内容、提供文件下载和上传功能以及在受害机器上执行任意命令，劫持 Telegram 和 Chrome 应用程序的执行。

此次活动主要针对伊朗公民。除了大部分是波斯文的文件名外，一些恶意网站还使用子域来冒充伊朗的流行服务，以使其看起来合法。例如，“aparat.com-view[.]space”模仿的是伊朗视频共享服务 Aparat，而“khabarfarsi.com-view[.]org”模仿的是伊朗新闻网站。此外，恶意文件显示的诱饵内容往往利用政治主题，涉及抵抗基地或打击伊朗政权的图像或视频，表明此次攻击是针对国内此类运动的潜在支持者。一个恶意可执行文件中发现的诱饵图像显示了对伊朗中央银行的抗议，如下图：

Ferocious Kitten 与其他威胁组织（即Domestic Kitten 和 Rampant Kitten）在 TTP 和受害者方面存在相似之处。和Domestic Kitten一样， Ferocious Kitten 长期使用相同的 C2 服务器集，并且使用相同的URL模式来进行C2通信，如“updatei[.] com/fff/”或“updatei.com/fil/”。和Rampant Kitten 一样，两个威胁组织都试图从 Keepass 密码管理器中收集信息，并更改 Telegram Desktop 的执行流程以确保其恶意软件的持久性。

尽管无法找到这些组织的代码库或基础设施之间的牢固联系，但这三个威胁组织开展的各种活动都只针对伊朗公民。