Rampant Kitten – böses Kätzchen schnüffelt iranische Dissidenten aus

8. Oktober, 2020
Rampant Kitten – böses Kätzchen schnüffelt iranische Dissidenten aus

Sicherheitsforscher von Check Point haben eine langjährig ausgelegte Hackerkampagne zur Überwachung von Andersdenkenden im Iran aufgedeckt und analysiert. Der Spionage-Feldzug wird Rampant Kitten genannt. Dabei wird ganzes Arsenal an spezieller Malware genutzt, um Informationen von Windows und Android Telefonen zu stehlen.

Seit vielen Jahren wissen Sicherheitsforscher und Journalisten bereits von den laufenden Überwachungsoperationen des Irans gegen iranische Auswanderer und Dissidenten. Nun gibt es aber neue Forschungsergebnisse, die einen detaillierten Einblick in die Vorgehensweisen geben. In der Rampant Kitten Toolbox befinden sich demnach vier Varianten von Windows-Infostealern. Damit können persönliche Dokumente der Opfer auf Windows-Geräten gestohlen werden. Außerdem ermöglicht es den Zugriff auf Telegramm-Desktop-App und KeePass-Kontoinformationen. Ein weiteres Tool ist eine Android-Hintertür. Sie kann Zwei-Faktor-Authentifizierungscodes aus SMS-Nachrichten extrahieren. Sehr raffiniert ist dabei das Feature, dass Gespräche in der unmittelbaren Nähe des Telefons aufzeichnen kann. Für die Telegramm App gibt es zudem eigens aufsetzte bösartige Telegramm-Phishing-Seiten, die sich über gefälschte Telegramm- Konten verbreiten. Die Rampant Kitten Aktionen richten sich hauptsächlich gegen iranische Minderheiten, Anti-Regime-Organisationen und Widerstandsbewegungen.

Rampant Kitten – Infektionskette aufgedeckt

Obwohl die Spionagekampagnen schon seit 2014 bekannt sind, waren bisher niemanden genaue Details zur Vorgehensweise bekannt. Die Check Point Forscher nahmen sich als erstes ein auffälliges Dokument vor. Es handelte sich um ein .docx Dokument mit einem arabischen Titel. Dieser kann sinngemäß so übersetzt werden: „Das Regime fürchtet die Ausbreitung der revolutionären Kanonen“. Das bezieht sich auf den andauernden Kampf des iranischen Regimes gegen die Revolutionary Cannons, einer Bewegung der Mudschaheddin-e Khalq.

Im Dokument fanden die Forscher einen eingebauten Trojaner, der beim Öffnen eine Dokumentvorlage von einem externen Remote-Server namens afalr-sharepoint[.]com herunterladen kann. Die entpuppte sich als Website für eine gemeinnützige Organisation, die iranische Dissidenten unterstützt. Danach führt der eingebettete bösartige Makro-Code ein Batch-Skript aus. Dieses wiederum versucht, noch mehr bösartigen Code herunterzuladen und auszuführen. Dieser hat dann die Aufgabe zu prüfen, ob die Telegramm App auf dem betroffenen Gerät installiert ist. Ist das der Fall, werden als nächstes weitere ausführbare Dateien extrahiert. Die verwendete Malware besteht aus drei Bausteinen: Einem Informations-Stealer, einem Modul-Downloader und einem Feature, das sicherstellt, dass die Malware unentdeckt bleibt.

Der Informations-Stealer lädt relevante Dateien des Telegrammdienstes hoch. Damit kann das Telegrammkonto der Opfer uneingeschränkt ausspioniert werden. Er kann zudem wichtige Informationen aus der KeePass Passwortmanager App stehlen. Der Stealer ist programmiert, um alle Dateien mit einer bestimmten Dateierweiterung zu stehlen. Zudem kann er auch Daten aus der Zwischenablage protokollieren und Desktop-Screenshots erstellen. Der Windows-Infostealer interessiert sich insbesondere für die Telegram App. Dazu senden sogar gefälschte Telegram-Service-Konten falsche Push-Nachrichten zu Phishing-Seiten, die wie offizielle Telegram-Anmeldeseiten aussehen.

Der Modul-Downloader lädt und installiert verschiedene Zusatzmodule. Die Check Point Forscher konnten hier noch nicht weiterkommen mit ihren Forschungen. Der dritte Baustein baut einen Mechanismus ein, der auf das Updateprogramm der Telegram App einwirkt. Der Infostealer kapert dabei den Update-Prozess von Telegram für Windows, indem er die offizielle updater.exe Datei durch eine bösartige Datei ersetzt.

Der Android-Infostealer wird über eine App installiert, die als Dienst getarnt ist. Dieser hilft persischen Personen in Schweden beim Erwerb eines Führerscheins. Die Android-Backdoor zielt auf per SMS gesendete Einmal-Passwörter ab und zeichnet auch Gespräche in der Telefonumgebung auf. Erwähnenswert ist auch, dass die Anwendung auch einen Phishing-Angriff auf die Anmeldedaten des Google-Kontos Gmail der Opfer startet. Dem Benutzer wird eine legitime Google-Anmeldeseite innerhalb der Android-Webansicht angezeigt. Tatsächlich haben die Angreifer aber die Android Javascript-Schnittstelle verwendet, um die eingegebenen Anmeldedaten zu stehlen. Auch gestohlen wird ein Timer, der in regelmäßigen Abständen die Infos aus den Eingabefeldern für den Nutzernamen und das Passwort abruft.

Die Check Point Sicherheitsforscher konnten mehrere Varianten dieser Malware bis ins Jahr 2014 zurückverfolgen. Dazu gehören die Varianten TelB, die im Juni und Juli 2020 eingesetzt wurde. Auch TelAndExt wurde von Mai 2019 bis Februar 2020 gegen Telegram genutzt. Ein Python-Infostealer griff von Februar 2018 bis Januar 2020 von Telegram, Chrome, Firefox und Edge ab. Die HookInjEx-Variante trieb ihr Unwesen von Dezember 2014 bis Mai 2020 und zielt auf Browser, das Geräte-Audio, Keylogging und Daten aus der Zwischenablage ab.

Artikel von checkpoint.com, 18.09.2020: RampantKitten: An Iranian Surveillance Operation unraveled
Artikel von arstechnica.com, 18.09.2020: Telegram messages are a focus in newly uncovered hack campaign from Iran
Artikel von zdnet.com, 18.09.2020: Iranian hacker group developed Android malware to steal 2FA SMS codes
Artikel von threatpost.com, 21.09.2020: Android Malware Bypasses 2FA And Targets Telegram, Gmail Passwords

Beitragsbild: Public Domain, Creative Commons CC0, Chickenonline auf pixabay.com.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen