campagna di spionaggio di 6 anni contro gli iraniani
Buongiorno cari lettori, oggi parleremo dei ricercatori scoprono una campagna di spionaggio informatico di 6 anni rivolta ai dissidenti iraniani.
A conclusione di un'intensa settimana di accuse e sanzioni contro gli hacker iraniani, una nuova ricerca offre un'idea di quella che è una campagna di sorveglianza in corso da sei anni contro gli espatriati e i dissidenti iraniani con l'intenzione di rubare informazioni sensibili.
Si dice che l'autore della minaccia, sospettato di essere di origine iraniana, abbia orchestrato la campagna con almeno due diverse parti mobili - una per Windows e l'altra per Android - utilizzando un ampio arsenale di strumenti di intrusione sotto forma di furti di informazioni e backdoor progettati per rubare documenti personali, password, messaggi Telegramma e codici di autenticazione a due fattori da messaggi SMS.
Chiamando l'operazione "Rampant Kitten", la società di sicurezza informatica Check Point Research ha dichiarato che la suite di strumenti malware è stata utilizzata principalmente contro le minoranze iraniane, le organizzazioni anti-regime e i movimenti di resistenza come l'Associazione delle famiglie di Camp Ashraf e dei Residenti della Libertà (AFALR), l'Organizzazione Nazionale della Resistenza dell'Azerbaigian e i cittadini del Balochistan.
Windows Info-Stealer Targets KeePass e Telegramma
Per Check Point, la catena di infezione è stata dapprima rintracciata in un documento Microsoft Word ("The Regime Fears the Spread of the Revolutionary Cannons.docx"), che, una volta aperto, esegue un payload di fase successiva che verifica la presenza dell'app Telegram sul sistema Windows e, in caso affermativo, rilascia tre ulteriori eseguibili dannosi per scaricare moduli ausiliari ed estrarre i relativi file Telegram Desktop e KeePass dal computer della vittima.
Catena di infezione da malware iraniano
In tal modo, l'esfiltrazione consente all'aggressore di dirottare l'account Telegram dell'individuo e di rubare i messaggi, nonché di accumulare tutti i file con specifiche estensioni su un server sotto il suo controllo.
La ricerca conferma anche una consulenza della Cybersecurity and Infrastructure Security Agency (CISA) statunitense all'inizio di questa settimana, che ha dettagliato l'uso degli script PowerShell da parte di un cyber attore iraniano per accedere alle credenziali crittografate delle password memorizzate dal software di gestione delle password KeePass.
Inoltre, le informazioni dagli account Telegram sono state rubate utilizzando una tattica separata che prevedeva pagine di phishing ospitate che impersonavano Telegram, compreso l'utilizzo di falsi messaggi di aggiornamento delle funzionalità per ottenere l'accesso non autorizzato agli account.
Catturare i codici 2FA di Google SMS
D'altra parte, la backdoor Android, dotata di funzionalità per registrare l'ambiente circostante il telefono infetto e recuperare i dati di contatto, è installata attraverso un'applicazione che si maschera da servizio per aiutare i parlanti di lingua persiana in Svezia a ottenere la patente di guida.
In particolare, l'app rogue è stata progettata per intercettare e trasmettere tutti i messaggi SMS che iniziano con il prefisso "G-" - tipicamente usato per l'autenticazione a due fattori (2FA) basata su SMS di Google - a un numero di telefono che riceve da un server di comando e controllo (C2), permettendo così al cattivo attore di catturare le credenziali dell'account Google della vittima utilizzando una schermata di login legittimo dell'account Google e bypassare il 2FA.
malware androide
Check Point ha dichiarato di aver scoperto diverse varianti di malware risalenti al 2014, con alcune delle versioni utilizzate contemporaneamente e con differenze significative tra loro.
"Abbiamo notato che mentre alcune delle varianti erano usate simultaneamente, erano scritte in diversi linguaggi di programmazione, utilizzavano protocolli di comunicazione multipli e non sempre rubavano lo stesso tipo di informazioni", ha osservato la società di sicurezza informatica.
Una campagna di sorveglianza mirata ai dissidenti
Data la natura dei bersagli scelti a mano per Rampant Kitten, come il Mujahedin-e Khalq (MEK) e l'Azerbaijan National Resistance Organization (ANRO), è probabile che gli hacker stiano lavorando su ordine del governo iraniano, come è stato riscontrato nella recente serie di accuse non sigillate dal Dipartimento di Giustizia statunitense.
"Il conflitto di ideologie tra questi movimenti e le autorità iraniane li rende un bersaglio naturale per un tale attacco, in quanto si allineano con il bersaglio politico del regime", ha detto Check Point.
"Inoltre, la funzionalità della backdoor e l'enfasi posta sul furto di documenti sensibili e sull'accesso ai conti di KeePass e Telegram dimostra che gli aggressori erano interessati a raccogliere informazioni su quelle vittime e a saperne di più sulle loro attività".
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
