Check Point cho biết nhóm này đã hoạt động ít nhất 6 năm và đã tham gia vào một hoạt động giám sát liên tục nhắm tới một bộ phận thiểu số người Iran, các tổ chức chống chính quyền, các phong trào phản kháng như Hiệp hội những người lưu vong tại trại tị nạn Ashraf và cư dân tự do (AFALR), Tổ chức Kháng chiến Quốc gia Azerbaijan và các công dân của Balochistan.
Nhóm tin tặc này có tên là Rampant Kitten. Theo Check Point, chiến dịch của Rampant Kitten sử dụng nhiều loại phần mềm độc hại, bao gồm 4 biến thể giả mạo Windows, một backdoor (cửa hậu) trên Android ngụy trang bên trong các ứng dụng tưởng chừng vô hại.
Nhằm mục tiêu vào KeePass và Telegram
Các chủng phần mềm độc hại trên Windows chủ yếu được sử dụng để đánh cắp tài liệu cá nhân của nạn nhân bao gồm cả các tập tin từ ứng dụng Telegram trên Windows, sau đó truy cập vào tài khoản Telegram của nạn nhân.
Ngoài ra, các chủng phần mềm độc hại trên Windows còn có khả năng đánh cắp tập tin từ trình quản lý mật khẩu KeePass. Điều này phù hợp với các mô tả trong một cảnh báo chung của Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra liên bang Mỹ (FBI) về tin tặc Iran và phần mềm độc hại của chúng được công bố mới đây.
Theo Check Point, chuỗi lây nhiễm bắt đầu từ một tài liệu Microsoft Word có chứa phần mềm độc hại được đặt tên là "The Regime Fears the Spread of the Revolutionary Cannons.docx" (Chính quyền lo sợ sự lây lan của cuộc cách mạng Cannons.docx). Khi tập tin word này được mở, nó sẽ thực thi một payload ở giai đoạn tiếp để kiểm tra xem liệu có sự hiện diện của ứng dụng Telegram trên hệ thống Windows hay không. Nếu có, nó sẽ thả thêm ba tập thực thi độc hại khác để tải xuống các mô-đun phụ trợ (auxiliary module) và trích xuất các các tập tin liên quan đến Telegram Desktop và KeePass từ máy tính của nạn nhân.
Việc trích xuất các tập tin trên sẽ cho phép kẻ tấn công giành quyền kiểm soát tài khoản Telegram của nạn nhân, từ đó đánh cắp tin nhắn, cũng như cóp nhặt tất cả các tập tin với phần mở rộng cụ thể và chuyển tới một máy chủ mà chúng kiểm soát.
Từ lâu, nhiều nước trên thế giới đã tạo những ứng dụng có vẻ vô hại để theo dõi hoạt động của công dân, hoặc mở rộng theo dõi công dân của những nước khác vì mục đích chính trị. Theo Check Point, nhóm tin tặc trên đã nhắm vào những tổ chức, cá nhân có hành vi phản động, đối đầu chính trị với Iran.
Đánh cắp mã xác thực hai yếu tố từ tin nhắn SMS của Google
Ngoài việc phát triển trojan Windows, nhóm tin tặc Rampant Kitten cũng phát triển các công cụ tương tự trên Android. Cửa hậu (backdoor) trên Android có khả năng đánh cắp mã xác thực hai yếu tố (2FA) từ các tin nhắn SMS, không nhắm vào một dịch vụ cố định nào mà triển khai trên cả Google, Telegram và một số dịch vụ truyền thông xã hội lớn khác.
Các nhà nghiên cứu của Check Point cho biết cửa hậu trên Android có thể đánh cắp thông tin danh bạ và tin nhắn SMS của nạn nhân, âm thầm ghi âm nạn nhân qua micrô và hiển thị các trang lừa đảo, nhưng chủ yếu tập trung vào dữ liệu xác thực hai yếu tố. Các nhà nghiên cứu của Check Point đã tìm thấy những loại phần mềm độc hại này trong một ứng dụng ngụy trang dịch vụ giúp người Ba Tư ở Thụy Điển lấy bằng lái xe.
Đặc biệt, phần mềm độc hại còn được thiết kế để chặn và chuyển tiếp tất cả các tin nhắn SMS bắt đầu bằng tiền tố 'G-' (thường được sử dụng cho việc xác thực hai yếu tố qua SMS của Google) đến kẻ tấn công.
Cụ thể, nhóm tin tặc sử dụng một Trojan Android để hiển thị một trang web lừa đảo nhằm thu thập thông tin đăng nhập, sau đó thử những thông tin đó trên trang web chính thống. Trong trường hợp nạn nhân bật xác thực hai yếu tố, phần mềm độc hại này sẽ chặn các tin nhắn SMS đến và âm thầm gửi bản sao cho những kẻ tấn công. Từ đó cho phép kẻ tấn công đánh cắp thông tin xác thực của nạn nhân, bằng cách đăng nhập vào tài khoản hợp pháp Google và vượt qua xác thực 2FA.
Nhằm mục tiêu vào KeePass và Telegram
Các chủng phần mềm độc hại trên Windows chủ yếu được sử dụng để đánh cắp tài liệu cá nhân của nạn nhân bao gồm cả các tập tin từ ứng dụng Telegram trên Windows, sau đó truy cập vào tài khoản Telegram của nạn nhân.
Ngoài ra, các chủng phần mềm độc hại trên Windows còn có khả năng đánh cắp tập tin từ trình quản lý mật khẩu KeePass. Điều này phù hợp với các mô tả trong một cảnh báo chung của Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra liên bang Mỹ (FBI) về tin tặc Iran và phần mềm độc hại của chúng được công bố mới đây.
Theo Check Point, chuỗi lây nhiễm bắt đầu từ một tài liệu Microsoft Word có chứa phần mềm độc hại được đặt tên là "The Regime Fears the Spread of the Revolutionary Cannons.docx" (Chính quyền lo sợ sự lây lan của cuộc cách mạng Cannons.docx). Khi tập tin word này được mở, nó sẽ thực thi một payload ở giai đoạn tiếp để kiểm tra xem liệu có sự hiện diện của ứng dụng Telegram trên hệ thống Windows hay không. Nếu có, nó sẽ thả thêm ba tập thực thi độc hại khác để tải xuống các mô-đun phụ trợ (auxiliary module) và trích xuất các các tập tin liên quan đến Telegram Desktop và KeePass từ máy tính của nạn nhân.
Việc trích xuất các tập tin trên sẽ cho phép kẻ tấn công giành quyền kiểm soát tài khoản Telegram của nạn nhân, từ đó đánh cắp tin nhắn, cũng như cóp nhặt tất cả các tập tin với phần mở rộng cụ thể và chuyển tới một máy chủ mà chúng kiểm soát.
Từ lâu, nhiều nước trên thế giới đã tạo những ứng dụng có vẻ vô hại để theo dõi hoạt động của công dân, hoặc mở rộng theo dõi công dân của những nước khác vì mục đích chính trị. Theo Check Point, nhóm tin tặc trên đã nhắm vào những tổ chức, cá nhân có hành vi phản động, đối đầu chính trị với Iran.
Đánh cắp mã xác thực hai yếu tố từ tin nhắn SMS của Google
Ngoài việc phát triển trojan Windows, nhóm tin tặc Rampant Kitten cũng phát triển các công cụ tương tự trên Android. Cửa hậu (backdoor) trên Android có khả năng đánh cắp mã xác thực hai yếu tố (2FA) từ các tin nhắn SMS, không nhắm vào một dịch vụ cố định nào mà triển khai trên cả Google, Telegram và một số dịch vụ truyền thông xã hội lớn khác.
Các nhà nghiên cứu của Check Point cho biết cửa hậu trên Android có thể đánh cắp thông tin danh bạ và tin nhắn SMS của nạn nhân, âm thầm ghi âm nạn nhân qua micrô và hiển thị các trang lừa đảo, nhưng chủ yếu tập trung vào dữ liệu xác thực hai yếu tố. Các nhà nghiên cứu của Check Point đã tìm thấy những loại phần mềm độc hại này trong một ứng dụng ngụy trang dịch vụ giúp người Ba Tư ở Thụy Điển lấy bằng lái xe.
Đặc biệt, phần mềm độc hại còn được thiết kế để chặn và chuyển tiếp tất cả các tin nhắn SMS bắt đầu bằng tiền tố 'G-' (thường được sử dụng cho việc xác thực hai yếu tố qua SMS của Google) đến kẻ tấn công.
Cụ thể, nhóm tin tặc sử dụng một Trojan Android để hiển thị một trang web lừa đảo nhằm thu thập thông tin đăng nhập, sau đó thử những thông tin đó trên trang web chính thống. Trong trường hợp nạn nhân bật xác thực hai yếu tố, phần mềm độc hại này sẽ chặn các tin nhắn SMS đến và âm thầm gửi bản sao cho những kẻ tấn công. Từ đó cho phép kẻ tấn công đánh cắp thông tin xác thực của nạn nhân, bằng cách đăng nhập vào tài khoản hợp pháp Google và vượt qua xác thực 2FA.
