En az 2015’ten beri aktif olan gizli bir siber casusluk grubu olan Ferocious Kitten, İran’daki Farsça konuşan muhalifler ve aktivistler için kalıcı bir tehdit olarak ortaya çıktı.
Dikkatli hedefleme ve gelişen taktikleriyle tanınan grup, tuş vuruşu ve pano kaydı, ekran görüntüsü yakalama, kimlik bilgileri hırsızlığı ve çok daha fazlasını gerçekleştirmek için özel implantı “MarkiRAT”ı kullanıyor ve karmaşık savunmalardan kaçarken gizli gözetleme hedeflerini ilerletiyor.
Ferocious Kitten’ın kampanyaları, kurbanları cezbetmek için tasarlanmış, siyasi içerikli tuzak belgelerin kullanımıyla dikkat çekiyor.
Yıllar geçtikçe, grup başlangıçtaki erişim yöntemini geliştirdi: makrolar veya MSHTML açıklarından yararlanan kötü amaçlı Microsoft Office dosyaları taşıyan hedef odaklı kimlik avı e-postaları. Bu silah haline getirilmiş eklentiler açıldığında, kötü amaçlı yazılım “MarkiRAT”ı kurbanların sistemlerine bırakıyor.
Önemli kilometre taşları grubun ticari becerisinin gelişimini yansıtıyor:
- 2015-İleri: Onaylanan ilk operasyonlar, MarkiRAT’ı İran’daki sivil toplum hedeflerine ulaştıran, içinde makrolar bulunan sahte belgeleri içeriyordu.
- Haziran 2021: Kaspersky, kötü amaçlı yazılımın gelişmiş casus yazılım yeteneklerini ve siyasi bağlamını ayrıntılarıyla anlatarak uzun süredir devam eden kampanyasını açığa çıkardı.
- Kasım 2021: Ferocious Kitten’ın, PowerShell tabanlı bir hırsız PowerShortShell’i dağıtmak için MSHTML RCE güvenlik açığından (CVE-2021-40444) yararlandığı görüldü ve yeni açıklardan yararlanma konusundaki çevikliğini kanıtladı.
Gelişmiş TTP’ler: Vahşi Kitten Nasıl Çalışır?
Tipik enfeksiyon, Farsça konuşan kullanıcılar için hem dilsel hem de bağlamsal olarak hazırlanmış bir e-posta ekiyle başlar.
Gibi belgeler Özgürlük tutkunlarıyla romantik dayanışma 2.doc (“Özgürlük aşıklarıyla romantik dayanışma 2.doc”), kötü amaçlı yazılım yaymak için rejim eleştirisini gömülü makrolarla birleştiriyor. Bu tuzaklar sadece enfeksiyon vektörü olarak hizmet etmiyor, aynı zamanda rejime karşı psikolojik araçlar olarak da kullanılıyor.
MarkiRAT tetiklendiğinde yükünün kodunu çözer ve kalıcı erişim için onu sistemin başlangıç klasörüne yerleştirir.
İmplant genellikle Telegram veya Chrome gibi meşru uygulamaların yanı sıra kök salıyor ve kısayollarını değiştirerek RAT’ın, kullanıcılar normal uygulamalarını her açtığında kullanıcı şüphesini azaltan gizli bir ele geçirme tekniğini başlatmasını sağlıyor.
Basit bir ısrarın ötesinde, Ferocious Kitten şunları kullanır:
- Menü Kalıcılığını Başlat: Başlangıçta önyükleme yapmak için RAT’ı “svehost.exe” olarak kopyalar.
- Uygulama Dizininin Ele Geçirilmesi: Gerçek uygulamaların simgelerini ve konumlarını eşleştirerek kendini gizler.
- RTLO Unicode Hilesi: .exe dosyalarının zararsız .jpg veya .mp4 dosyaları gibi görünmesini sağlamak için sağdan sola geçersiz kılmayı kullanır; örneğin, “HolidayPic\u202Egpj.exe” kullanıcıya JPG olarak görünür.
- BITS’in Kötüye Kullanımı: Gizli C2 iletişimi ve proxy keşfi için Windows BITS aracından yararlanır.
MarkiRAT, Kaspersky veya Bitdefender gibi güvenlik yazılımlarını tarar ve bunu C2’ye bildirir, ancak gözlemlenen örnekler, varlıklarından etkilenmeden operasyonlarına devam eder. Maskeleme ve yanal hareket taktiklerinin konuşlandırılması, gelişmiş operatör farkındalığının kanıtıdır.
Tuş Vuruşu ve Pano Günlüğü
MarkiRAT’ın birincil işlevlerinden biri, dahili adı “Mark KeyLogGer” olduğundan şüphelenilen güçlü keylogger’ıdır. Bu modül, her tuş vuruşunu ve pano işlemini günlüğe kaydeder ve verileri şifrelenmiş kanallardan dışarı çıkarır.
Kötü amaçlı yazılım, kaydediciyi etkinleştirmeden önce KeePass gibi şifre yöneticilerini zorla kapatıyor ve yeniden başlatıldığında ana şifre girişlerini hemen yakalayabilmesini sağlıyor.
MarkiRAT, komutları almak ve ekran görüntüleri ve dizin listelerinden dosyalara ve hedeflenen kimlik bilgileri depolarına (.kdbx, .gpg, vb.) kadar her şeyi verileri dışarı çıkarmak için GET ve POST yöntemlerini kullanarak C2 iletişimi için HTTP ve HTTPS isteklerini kullanır.
İmplant, geniş bir uygulama yelpazesinde alınan talimatları uygulayabilir, dosyaları yükleyebilir veya indirebilir ve hassas eserleri toplayabilir.
Ferocious Kitten ve benzeri APT’lere karşı kontrollerini değerlendirmek ve güçlendirmek isteyen güvenlik ekipleri Picus Güvenlik Doğrulama Platformundan yararlanabilir.
Picus, Ferocious Kitten’ın algılama ve önleme ayarlamalarını kolaylaştıran yöntemleri de dahil olmak üzere gerçek dünyadaki saldırı senaryolarını simüle eder. Kapsamlı tehdit kitaplıkları ve 14 günlük ücretsiz deneme süresi, Picus’u yalnızca Ferocious Kitten’a değil aynı zamanda diğer önde gelen APT’lere karşı anında savunma doğrulaması için erişilebilir hale getirir.
Ferocious Kitten, güvenilir sosyal mühendisliği yenilikçi teknik istismarla birleştirerek uyum sağlamaya devam ediyor.
MarkiRAT implantı, İran’ın dijital ortamındaki aktivistler ve kuruluşlar için süregelen bir tehdit olan güçlü ısrar ve kaçınma ile birlikte derin gözetim sağlıyor.
Bu tür tehditlerin önünde kalabilmek için dikkatli tespit, kullanıcı eğitimi ve Picus gibi sağlam simülasyon platformları kullanılarak güvenlik kontrollerinin sürekli doğrulanması gerekir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.