卡巴斯基的研究人員報告，與伊朗有關(guān)的APT組織Ferocious Kitten正在利用即時通訊應(yīng)用程序和VPN軟件,，如Telegram和Psiphon,，來分發(fā)Windows RAT并監(jiān)視目標設(shè)備。

　　據(jù)悉,，該APT組織至少從2015年起就開始竊取受害者的敏感信息,，而鎖定這兩個平臺，是因為它們在伊朗很受歡迎,。并且,，該APT組織所使用的一些TTP與其他進行類似活動的組織（如Domestic Kitten和Rampant Kitten）的TTP相一致。

　　攻擊活動中所采用的誘餌經(jīng)常為政治主題,，涉及抵抗基地或打擊伊朗政權(quán)的圖像或視頻,，這種情況表明他們攻擊的目標是該國境內(nèi)此類運動的潛在支持者。

此次活動被發(fā)現(xiàn),，是由于卡巴斯基調(diào)查了2020年7月和2021年3月上傳到VirusTotal的兩個武器化文件,。

　　這兩份文件包含了用于啟動多階段感染的宏，旨在部署一個新發(fā)現(xiàn)的名為MarkiRat的惡意軟件,。

　　該惡意軟件允許攻擊者竊取目標數(shù)據(jù),，記錄擊鍵，下載和上傳任意文件,，捕獲剪貼板內(nèi)容,，并在受感染的系統(tǒng)上執(zhí)行任意命令。

　　此外,，研究人員分析的MarkiRAT惡意軟件變體之一涉及一個普通的下載器,，從一個硬編碼的域中獲取一個可執(zhí)行文件。這個樣本與該組織過去所使用的其他樣本不同,，有效載荷變?yōu)橛蓯阂廛浖旧硗斗?。這表示該組織可能正在對一些他們所使用的TTP進行修改。

　　專家們還發(fā)現(xiàn)了Psiphon工具的一個污點版本,，這是一個用于逃避互聯(lián)網(wǎng)審查的開源VPN軟件,。

　　值得重視的是，研究人員發(fā)現(xiàn)該組織的指揮和控制基礎(chǔ)設(shè)施正在托管DEX和APK文件形式的安卓應(yīng)用程序,，很可能是該組織為了針對移動用戶所采取的行動,。