【安全资讯】ITG18使用LittleLooter新型后门，攻击伊朗改革主义运动成员

引言

研究人员在跟踪疑似伊朗威胁组织ITG18的活动时，发现了一个名为“WhatsApp.apk”的文件，根据其信息窃取功能，研究人员确定该文件为“LittleLooter”的安卓恶意软件。 LittleLooter是一种新型Android 后门，具有信息窃取功能，似乎是ITG18独有的后门，研究人员目前没有发现其他使用该后门的攻击者。研究人员发现ITG18组织所使用的战术、技术和程序 (TTP) 与被称为Charming Kitten、Phosphorus和TA453 的组织重叠。

简况

ITG18 可以利用 LittleLooter 的功能或使用网络钓鱼/社会工程从目标收集帐户凭据。LittleLooter为威胁行为者提供丰富的信息窃取功能，包括视频和实时屏幕录制、电话号码、文件上传/下载、语音通话录音、GPS 数据收集、设备信息收集、浏览器历史收集、连接操作、联系信息窃取、图片捕捉以及检索短信和通话列表详细信息。LittleLooter 尝试通过 HTTP POST 请求和响应与 C2 服务器建立通信。C2 服务器伪装成一家美国花店，自 2020 年 7 月开始活跃。 恶意软件与 C2 服务器之间的通信通过 GZIP、AES 加密和 BASE64 编码进行压缩。

研究人员还发现了 ITG18 从 2020 年夏末到 2021 年春季针对伊朗个人的长期行动。分析显示， ITG18 从大约 20 名与伊朗改革运动结盟的人那里窃取了大约 120 GB 的信息。最近盗取的数据是 Telegram 帐户，这是伊朗使用的最流行的即时通讯服务之一。被盗数据包含与受害者相关的照片、联系人列表、群组成员身份和对话。Telegram 是唯一获准在伊朗使用的外国社交媒体服务之一，在2009年绿色运动期间被大量用于组织抗议活动。研究人员认为，受害者的 Telegram 数据在2020年夏季至2021年春季期间成为攻击者的目标，可能是为了监测有关伊朗2021 年 6 月总统大选的异议或抗议活动。 导出的受害者 Telegram 账户数据如下：

结语

ITG18 攻击的大多数受害者都与伊朗的改革运动有关，这是伊朗内部的一个政治派别，与当前的保守政权相比，它支持左翼政策。ITG18 运营商除了简单地发送网络钓鱼消息外，还将尝试与目标聊天、通话甚至视频会议。 尽管 ITG18 组织的活动多次被公开披露，但该组织的攻击活动仍在继续。