Первые сообщения о деятельности хакерской группы CopyKittens (они же Rocket Kittens) были опубликованы специалистами ClearSky еще в 2015 году. При этом эксперты предполагают, что группировка активна как минимум с 2013 года, а жертвами CopyKittens становятся организации и частные лица (включая дипломатов и исследователей) в Израиле, Саудовской Аравии, Турции, США, Иордании и Германии. Среди жертв группы были замечены правительственные организации, исследовательские институты, IT-компании, оборонные предприятия и подрядчики военных, муниципальные учреждения и так далее.
Новые отчеты, опубликованные специалистами Trend Micro и ClearSky, посвящены операции «Увядший тюльпан» (Operation Wilted Tulip) и подробно рассказывают о кибершпионской деятельности CopyKittens, их инструментах и тактиках, инфраструктуре и «почерке» группировки.
Аналитики рассказывают, что группа полагается на разные техники, включая атаки watering hole, то есть компрометацию сайтов, которые часто посещают намеченные жертвы. К примеру, специалисты обнаружили, что в ходе своих кампаний злоумышленники использовали методику watering hole на The Jerusalem Post, Maariv news и IDF Disabled Veterans.
Также CopyKittens распространяют малварь и более традиционными способами:
- через вредоносные ссылки в письмах, ведущие на подконтрольные злоумышленникам сайты;
- через вредоносные документы Office и эксплуатацию уязвимости CVE-2017-0199 (с тех пор, как этот баг еще был 0-day);
- через взлом веб-серверов, уязвимости на которых обнаруживаются с помощью сканеров Havij, sqlmap и Acunetix;
- через фальшивые профили в социальных сетях, которые призваны завоевать доверие будущих жертв, и могут использоваться для отправки вредоносных ссылок.
В арсенале группировки присутствует не только кастомная малварь, написанная самими хакерами, но и такие известные инструменты, как бэкдор TDTESS, Matryoshka RAT, Vminst, Cobalt Strike, Mimikatz, Metasploit, ZPP и так далее.
Хотя специалисты до сих пор не могут с точностью сказать, «под флагом» какой страны действуют CopyKittens, одним из наиболее вероятных подозреваемых (основываясь на списке целей группировки) является Иран.
