Vahşi Kedi Yavrusu, en az 2015’ten bu yana İran’da Farsça konuşan bireyleri hedef alan önemli bir siber casusluk tehdidi olarak ortaya çıktı.
İran bağlantılı gelişmiş kalıcı tehdit grubu, kurbanları silah haline getirilmiş dosyaları yürütmeye yönlendirmek için siyasi temalı sahte belgeler kullanarak, oldukça odaklanmış bir hedefle faaliyet gösteriyor.
Yıllar geçtikçe grup, MarkiRAT olarak bilinen ve HTTP ve HTTPS protokolleri aracılığıyla aşamalı veri sızdırmayla tuş vuruşu kaydı, pano veri yakalama, ekran görüntüsü işlevselliği ve kimlik bilgisi toplama gibi kapsamlı veri toplama yetenekleri sağlayan gelişmiş bir özel implant geliştirdi.
Grubun saldırı metodolojisi, Visual Basic for Applications makrolarına gömülü kötü amaçlı Microsoft Office belgeleri sağlayan hedef odaklı kimlik avı kampanyalarına dayanıyor.
Bu hazırlanmış e-postalar muhalifleri, aktivistleri ve İran rejimine tehdit olarak algılanan kişileri hedef alıyor. Kurban, silah haline getirilmiş bir belgeyi açtığında, yerleşik makrolar kullanıcı düzeyindeki ayrıcalıklarla yürütülür ve sistem için bir dayanak noktası oluşturulur.
Yem belgeleri, hedeflerin algılanan meşruiyetini güçlendiren rejim karşıtı propaganda içerdiğinden, sosyal mühendisliğin oldukça etkili olduğu kanıtlanıyor.
Kötü amaçlı yazılım, ilk çalıştırmanın ardından birden fazla kalıcılık mekanizması devreye sokar.
Picus Security’nin güvenlik analistleri, MarkiRAT varyantlarının, meşru uygulamaların yanına kötü amaçlı yazılım yerleştiren karmaşık ele geçirme teknikleri kullandığını tespit etti.
Bazı varyantlar, Telegram veya Chrome kurulumlarını arar, kendilerini uygulama dizinlerine kopyalar ve yasal uygulamayı başlatmadan önce kötü amaçlı yazılımı çalıştırmak için kısayolları değiştirir.
Bu teknik etkili olmaya devam ediyor çünkü kullanıcılar uygulamaların yürütüldükten sonra normal şekilde çalıştığını algılıyorlar.
Savunmadan Kaçınma ve Toplama Mekanizmaları
Kötü amaçlı yazılım, tespit ve güvenlik kontrollerini atlatmak için çeşitli kaçırma taktikleri kullanır. Tekniklerden biri, dosya gezginlerinde dosya adı gösterimini değiştiren Sağdan Sola Geçersiz Kılma (RTLO) Unicode numarasını içerir.
Saldırganlar, yürütülebilir dosya adlarına Unicode karakteri U+202E’yi ekleyerek, kötü amaçlı dosyaların resim veya video gibi zararsız medya dosyaları gibi görünmesini sağlar.
“MyVideo\u202E4pm.exe” adlı dosya kullanıcılara “MyVideoexe.mp4” olarak görüntüleniyor ve teknik bilgisi olmayan kurbanlar arasında yürütme olasılığını önemli ölçüde artırıyor.
MarkiRAT’ın toplama yetenekleri onun temel işlevselliğini temsil eder. İmplant, HTTP POST ve GET isteklerini kullanarak komut ve kontrol sunucularıyla iletişim kuran kalıcı işaret iş parçacıklarını korur.
Kötü amaçlı yazılım, kullanıcıların tuş vuruşlarını ve pano içeriklerini sistematik olarak kaydediyor ve ardından bu bilgileri uzak sunuculara sızdırıyor.
Picus Güvenlik araştırmacıları kritik bir şekilde, MarkiRAT’ın KeePass veritabanları (.kdbx) ve PGP anahtar dosyaları (.gpg) dahil olmak üzere belirli kimlik bilgisi depolama formatlarını hedeflediğini belirtti.
Kötü amaçlı yazılım, KeePass işlemlerini tuş vuruşu kaydı başlamadan önce sonlandırıyor, kullanıcıları ana şifreleri yeniden girmeye zorluyor ve böylece kimlik doğrulama bilgilerini ele geçiriyor.
Grup, Kaspersky ve Bitdefender gibi kurulu güvenlik yazılımlarını kontrol ederek uyarlanabilir operasyonel güvenliği gösteriyor.
Ferocious Kitten’ın toplama odaklı metodolojisi ve sürekli hedeflemesi, istihbarat toplamaya öncelik veren bir organizasyonu ortaya çıkarıyor ve bu grubu dünya çapında Farsça konuşan nüfuslara yönelik kalıcı ve gelişen bir tehdit haline getiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
