サイバーニュース.jp

世界のサイバーなニュースを配信

Ferocious Kitten APT、キーロガーとクリップボード監視にMarkiRATを使用

カテゴリ:

概要:Ferocious Kitten APTの脅威

2015年以降活動しているFerocious Kittenは、イラン国内のペルシャ語を話す反体制派や活動家を標的とするサイバー・スパイ集団です。このグループは、標的を慎重に選び、戦術を進化させながら、カスタムマルウェア「MarkiRAT」を展開しています。MarkiRATは、キーストロークやクリップボードのログ記録、スクリーンショットの取得、認証情報の窃取など、広範な監視活動を行い、高度な防御を回避しながら秘密裏に活動を進めています。

Ferocious Kittenのキャンペーンは、被害者を誘い込むために政治的なおとり文書を使用することを特徴としています。初期アクセスには、マクロやMSHTMLエクスプロイトが埋め込まれた悪意のあるMicrosoft Officeファイルを添付したスピアフィッシングメールが用いられます。

Ferocious Kittenの進化:主要なマイルストーン

  • 2015年以降: 初期段階の作戦では、イランの市民社会の標的にMarkiRATを送り込むために、マクロが埋め込まれたおとり文書が使用されました。
  • 2021年6月: KasperskyがFerocious Kittenの長期にわたるキャンペーンを暴露し、マルウェアの高度なスパイウェア機能と政治的背景を詳細に報告しました。
  • 2021年11月: MSHTML RCE脆弱性(CVE-2021-40444)を悪用し、PowerShellベースの窃取ツール「PowerShortShell」を展開。これは、新しいエクスプロイトを迅速に採用する彼らの機敏性を示しています。

高度なTTPs:Ferocious Kittenの仕組み

典型的な感染は、ペルシャ語を話すユーザー向けに言語的・文脈的に巧妙に作成されたメール添付ファイルから始まります。例えば、「自由を愛する人々とのロマンチックな連帯2.doc」のような文書は、政権批判とマルウェアを配信するための埋め込みマクロを組み合わせています。これらの誘い込みは、感染経路としてだけでなく、政権に対する心理的ツールとしても機能します。

一度トリガーされると、MarkiRATはペイロードをデコードし、永続的なアクセスを確保するためにシステムのスタートアップフォルダに配置します。このマルウェアは、TelegramやChromeのような正規のアプリケーションのショートカットを改変し、ユーザーが通常のアプリを開くたびにRATが起動するように仕向けます。これにより、ユーザーの疑念を減らすステルス性の高いハイジャック技術が用いられています。

Ferocious Kittenが採用する永続化手法には以下が含まれます:

  • スタートメニュー永続化: RATを「svehost.exe」としてコピーし、起動時に実行させます。
  • アプリディレクトリハイジャック: 実際のアプリのアイコンや場所と一致させることで、自身を偽装します。
  • RTLO Unicodeトリック: 右から左への上書き(RTLO)Unicode文字を使用して、.exeファイルを無害な.jpgや.mp4ファイルのように見せかけます(例:「HolidayPic‮gpj.exe」がユーザーにはJPGに見える)。
  • BITS悪用: WindowsのBITSツールを利用して、ステルス性の高いC2通信とプロキシ偵察を行います。

MarkiRATは、KasperskyやBitdefenderなどのセキュリティソフトウェアをスキャンし、その情報をC2に報告しますが、これらの存在にひるむことなく操作を続行します。その偽装とラテラルムーブメントの展開は、高度なオペレーターの意識を証明しています。

キーストロークとクリップボードのログ記録

MarkiRATの主要な機能の一つは、その堅牢なキーロガーであり、内部名「Mark KeyLogGer」からその疑いが持たれています。このモジュールは、すべてのキーストロークとクリップボード操作を記録し、暗号化されたチャネルを通じてデータを外部に送信します。マルウェアは、キーロガーをアクティブにする前にKeePassのようなパスワードマネージャーを強制的に終了させ、再起動時にマスターパスワードの入力を即座にキャプチャできるようにします。

MarkiRATは、HTTPおよびHTTPSリクエストをC2通信に使用し、GETおよびPOSTメソッドを用いてコマンドを受信し、データを外部に送信します。これには、スクリーンショット、ディレクトリリスト、ファイル、および標的とされた認証情報ストア(.kdbx、.gpgなど)のすべてが含まれます。このマルウェアは、受信した指示を実行し、ファイルをアップロードまたはダウンロードし、広範なアプリケーションから機密性の高いアーティファクトを収集することができます。

防御と緩和策

セキュリティチームは、Ferocious Kittenや同様のAPTに対する防御を評価し強化するために、Picus Security Validation Platformを活用できます。Picusは、Ferocious Kittenの手法を含む現実世界の攻撃シナリオをシミュレートし、検出および防止のチューニングを容易にします。包括的な脅威ライブラリと14日間の無料トライアルにより、PicusはFerocious Kittenだけでなく、他の著名なAPTに対する即時の防御検証に利用可能です。

結論

Ferocious Kittenは、信頼性の高いソーシャルエンジニアリングと革新的な技術的悪用を組み合わせながら適応し続けています。そのMarkiRATマルウェアは、強力な永続性と回避能力を備えた深い監視機能を提供し、イランのデジタル環境における活動家や組織にとって継続的な脅威となっています。このような脅威に先んじるためには、警戒を怠らない検出、ユーザー教育、そしてPicusのような堅牢なシミュレーションプラットフォームを用いたセキュリティ制御の継続的な検証が不可欠です。

元記事: https://gbhackers.com/ferocious-kitten-apt/

投稿をさらに読み込む