“家猫” APT从2016 年开始悄悄行动

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

CheckPoint公司的研究员发现，大规模的监控活动通过恶意移动应用针对特定的组织发动攻击，收集设备上的敏感信息以及周遭的音频。

研究员将这种攻击称为“家猫(Domestic Kitten)”，它的攻击目标是库尔德人和土耳其当地人、ISIS支持者和所有伊朗公民。

家猫APT从受攻陷手机中收集的信息包括大量内容，如联系人列表、通话记录、文本和多媒体信息、浏览器历史和书签、地理位置信息、照片、附近会话录音、所安装应用的列表、剪切板内容以及外部存储设备上的数据。

或活跃于2016年

这个APT组织通过三款移动应用发动攻击：一款是壁纸更改器、一款是旨在提供合法库尔德新闻站点ANF上的新闻更新的app以及虚假的Vidogram通讯app。壁纸更改器通过提供可作为屏保的ISIS相关图片的方式诱骗受害者。用于为这三款应用签名的证书颁发于2016年，这表明该APT组织的攻击活动避开了长达两年的攻击检测。

为了从受攻陷设备提取数据，这些应用向新注册域名上的命令和控制服务器发送HTTP POST请求。其中一款应用最初还联系了解析为伊朗IP地址不过随后更改为俄罗斯地址的站点(firmwaresystemupdate[.]com)。所有发送到这个C2的数据都被以AES算法加密，且可通过攻击者为每个受害者创建的设备ID解密。

间接受害者达数千名

CheckPoint公司分析发现有240名受害者已受骗，其中97%的受害者是伊朗人，其他受害者位于阿富汗、伊拉克和英国。

但从这次攻击活动的综合性质来看，数千名个人的私有信息遭攻陷。虽然有些人并不一定是遭监控的对象，但他们的详情也通过和目标相关的联系人列表或会话遭泄露。

或和伊朗国家 APT 有关

研究人员发布报告指出，虽然“家猫”的操纵人员身份尚未得到证实，但从该地区的政治条件来看，他们认为伊朗政府机构是幕后黑手。

CheckPoint公司解释称，“确实，这些监控计划是针对可威胁伊朗政权稳定的个人和组织发动的，包括内部的政见不同者和反对力量以及主要位于伊朗西部地区的ISIS支持者和库尔德少数民族。”

研究人员表示，目标性质、这些应用以及攻击的基础设施都支持该APT组织源自伊朗的理论说法。

https://www.bleepingcomputer.com/news/security/domestic-kitten-apt-operates-in-silence-since-2016/