【安全资讯】Cunning Kitten–针对中东相关人士的威胁组织

猎影实验室 2022-06-24 14:02:05 250人浏览

安恒信息中央研究院猎影实验室追踪到一系列针对中东相关政治活动人士的攻击活动。经研究,这些活动来自于一个新的威胁组织,这一攻击者至少自2021年9月便开始活跃,为方便追踪,我们将其命名为Cunning Kitten(安恒信息内部追踪代号为“APT-LY-1002”)。Cunning Kitten的攻击目标聚焦于世界各地的使用波斯语的相关人士,选取相关人士关心的政治话题发起攻击。在深度跟踪此些活动后得到如下发现:

  • 鱼叉式邮件钓鱼是Cunning Kitten主要攻击方式,并且Cunning Kitten有能力跟进业内发布的最新漏洞PoC来发起攻击。在2021年9月的攻击活动中,Cunning Kitten利用了CVE-2021-40444远程代码执行漏洞制作钓鱼邮件;在近期的活动中,也利用了CVE-2022-30190制作钓鱼邮件。
  • Cunning Kitten的钓鱼活动目的主要在于信息收集。使用自制的PowerShell窃取脚本收集主机上的主机信息、浏览器信息以及Telegram信息,国外厂商SafeBreach将此后门命名为PowerShortShell。
  • Cunning Kitten使用的网络资产大多为动态域名,无论是用作钓鱼网站还是回连地址。

失陷指标(IOC)15
APT Cunning Kitten 中东
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。