حملات جدید هکرهای گروه Rampant Kitten برای سرقت اطلاعات حساب‌ها

۰۵ مهر ۱۳۹۹

یافته‌های جدید محققان امنیتی شرکت چک‌پوینت نشان می‌دهد که یک کمپین بدافزاری مرتبط با گروهی از هکرهای ایرانی، موسوم به Rampant Kitten، حداقل به مدت ۶ سال، نهادها و مجموعه‌های سیاسی مخالف حکومت ایران را در کشورهای مختلف مورد هدف خود قرار داده است. 

محققان اولین‌بار این گروه را از طریق یک فایل منتشر شده با نام «The Regime Fears the Spread of the Revolutionary Cannons.docx.» که اشاره به کشمکش‌های بین جمهوری اسلامی و سازمان مجاهدین خلق دارد، شناسایی کرده‌اند.

این فایل پس از اجرا شدن، شروع به برقرار ارتباط با سرورهای کنترل و فرمان مهاجمان می‌کند که برای این مورد، از نام یک وب‌سایت جعلی غیرانتفاعی برای کمک به مخالفان ایرانی استفاده شده است. همچنین در ادامه یک کد ماکرو مخرب دانلود می‌شود که اسکریپتی را برای دانلود و اجرای پی‌لودهای مرحله بعد، اجرا می‌کند. این پی‌لود بررسی می‌کند که آیا پیام‌رسان تلگرام در دستگاه قربانی نصب شده است یا خیر و در صورت وجود این برنامه در دستگاه قربانی، اقدام به سرقت فایل‌های تلگرام می‌کند.

علاوه براین، محققان طی تحقیقات خود یک برنامه مخرب اندروید مرتبط با این گروه را شناسایی کردند که این برنامه در ابتدا به نظر می‌رسد که سرویسی برای کمک به فارسی‌زبانانی است که قصد گرفتن گواهینامه رانندگی در سوئد را دارند.

اما در واقعیت، هنگامی که قربانیان این برنامه را دانلود می‌کنند، بدافزار به کار رفته در آن، به پیام‌های کوتاه دسترسی پیدا کرده و با ارسال همه پیام‌های حاوی کد احراز هویت دو مرحله‌ای به یک شماره تحت کنترل مهاجم، امکان دورزدن احراز هویت چند عاملی را برای هکرها فراهم می‌سازد.

این برنامه همچنین یک حمله فیشینگ با هدف‌ سرقت اطلاعات ورود به حساب گوگل قربانیان ار نیز اجرا می‌کند. برای این کار، مهاجمان، قربانی خود را به یک صفحه تقلبی ورود به حساب گوگل هدایت کرده و اطلاعات ورود تایپ شده توسط قربانی را به سرقت می‌برند.

 

 

توضیحات بیشتر:

Rampant Kitten – An Iranian Espionage Campaign