Zou het mogelijk zijn om tweestapsverificatie codes te stelen en vervolgens mee te luisteren met je spraakomgeving? Of mee te lezen met wat je communiceert via Telegram?
Onderzoekers van CheckPoint hebben onlangs bekendgemaakt dat Iraanse entiteiten zich jarenlang hebben gericht op Iraanse expats en demonstranten.
De hackersgroep 'Rampant Kitten' gebruikte hiervoor Android-achterdeurtjes om de 2FA-codes (tweestapsverificatie) uit sms-berichten te onderscheppen en konden zo de spraakomgeving van de telefoon opnemen.
De cybersecurity-onderzoekers, noemden deze hackgroep een 'Rampant Kitten', en zij bevestigden ook dat deze hackgroep er grotendeels in slaagde om de operaties minstens zes jaar onder de radar te houden.
Belangrijkste doelen van hackers
Volgens het Checkpoint rapport richtten de hackers zich vooral op de Iraanse minderheden, anti-regime organisaties en verzetsbewegingen zoals
- Vereniging van gezinnen van kamp Ashraf en inwoners van de Vrijheid (AFALR)
- Azerbeidzjaanse Nationale Verzetsorganisatie
- Balochistan mensen
Waar hadden de hackers toegang tot
De hack richte zich om gegevens van het slachtoffer te stelen en toegang te verschaffen tot hun Telegram Desktop- en KeePass-accountgegevens. De Android-achterdeur die tweefactorauthenticatiecodes uit sms-berichten haalt linkt naar toegang tot de spraakomgeving van de telefoon en meer.
De werkwijze van de hackers
De Phishing-pagina's van Telegram worden gedeeld met behulp van de nep-Telegram-serviceaccounts.
Afgezien hiervan kwamen de experts enkele onverwachte documenten met Arabische namen tegen, die ze later omzette, en de titel impliceerde het voortdurende conflict tussen het Iraanse regime en de Revolutionaire Kanonnen, een Mujahedin-e Khalq-beweging.
Het document maakt gebruik van de externe sjabloonmethode, waardoor het een documentsjabloon van een externe server kan laden. De experts werden echter nieuwsgierig en begonnen er wat onderzoek naar te doen.
Na onderzoek vonden ze enkele tweets van accounts die het Iraanse regime in twijfel trokken. In de tweets werd verwezen naar een verwante sharePoint waar de documenten ingelezen konden worden.
De cyberaanval
Zodra het slachtoffer het document opende, starte de download van het externe sjabloon en was de ketting van infectie gestart.
Belangrijkste kenmerken van de malware
Informatie Stealer | Het uploadt relevante Telegram-bestanden van de beoogde computer en deze bestanden stellen de aanvallers in staat om volledig gebruik te maken van het beoogde Telegram-account. Steelt gegevens van de KeePass-applicatie. Registreert klembordgegevens en onderhoudt schermafbeeldingen op het bureaublad. |
Module Downloader | Downloadt en installeert verschillende aanvullende modules. |
Unieke volharding | Voer een persistentiemechanisme uit op basis van de interne updatemethode van Telegram. |
Android-achterdeur
De experts hebben tijdens het onderzoek een andere kwaadaardige Android-applicatie gevonden en deze werd ook uitgevoerd door dezelfde hackersgroep. Deze kwaadaardige applicatie verstopte zich als een service om Perzische sprekers in Zweden te helpen hun rijbewijs te halen.
Kenmerken van Android Backdoor
- Steel bestaande sms-berichten.
- Het doorsturen van de tweefactorauthenticatie-sms-berichten naar een telefoonnummer dat wordt aangeboden door de door de bedreigingsactoren gecontroleerde C & C-server.
- Herstel persoonlijke gegevens zoals contacten en accountgegevens.
- Start een spraakopname van de omgeving van de telefoon.
- Phishing toepassen op een Google-account.
- Herstellen van alle apparaat gegevens zoals geïnstalleerde apps en actieve processen.
Opdrachten categorieën
Authenticatie | HelloWorld - Authenticatiebericht |
Module Downloader | DownloadFileSize - Ziet of een module moet worden gedownload. DownloadFile - downloadt een module van de externe server. |
Gegevens exfiltratie | UploadFileExist - kijk of een bepaald slachtofferbestand is geüpload.UploadFile - Uploadt een specifiek slachtofferbestand. |
Telegram Phishing
In plaats van een achterdeur ontdekten de beveiligingsexperts ook een andere app: de Telegram Phishing. Er zijn enkele websites die gerelateerd waren aan deze kwaadaardige activiteit en ook phishing-pagina's hosten die Telegram imiteerden.
Cyberaanval kan zeer nuttig zijn
De hackersgroep hebben deze aanval zeer goed gepland, aangezien het een grootschalige operatie is die erin is geslaagd om minstens zes jaar onder de radar te blijven. In deze waren de hackers afkomstig uit Iran en maakten ze gebruik van verschillende aanvalsmethoden om hun slachtoffers te bespioneren.
Maar ook criminele organisaties kunnen dergelijke aanvallen uitvoeren voor financieel gewin, denk hierbij aan bedrijfsspionage, ontwerpen stelen en deals beluisteren. Wist je trouwens dat China een exacte kopie heeft gebouwd van onze nieuwe F16 de F35 (Joint Strike Fighter).
Bron: cybersecuritynews.com, checkpoint.com, blackhatethicalhacking.com