网络安全公司CheckPoint在最新发布的一份题为《Domestic Kitten: An Iranian Surveillance Operation》的分析报告中指出，一场可以追溯到2016年的网络间谍活动至今仍在持续，其目标包括了库尔德人和土耳其人以及ISIS支持者，但主要还是伊朗公民。 [出自:jiwo.org]

在这场被CheckPoint命名为“Domestic Kitten”的活动中，攻击者主要通过一些虚假的诱饵内容来诱使目标下载某些应用程序，而这些应用程序毫无疑问地被嵌入了恶意代码。CheckPoint的分析指出，恶意代码实际上实现的是间谍功能，能够窃取有关目标的敏感信息，具体如下：

• 联系人列表
• 通话记录
• 短信和彩信
• 浏览器历史记录和书签
• 地理位置
• 相片
• 已安装的应用列表
• 剪贴板内容
• 外部存储数据

此外，恶意代码还具备录制目标周围声音的能力。

恶意代码窃取了剪贴板内容

Domestic Kitten活动可追溯至2016年

在这场活动中，攻击者利用了三款潜在受目标欢迎的应用：一款壁纸应用、一款声称提供来自ANF（一个合法的库尔德新闻网站）的新闻资讯应用，以及一个虚假版本的Vidogram即时通讯应用。

其中，壁纸应用被设计为提供与ISIS相关的图片作为屏幕背景来吸引受害者。

提供与ISIS图片的壁纸应用

声称提供来自ANF的新闻资讯应用

用于签署这三个应用的证书（在Android设备上安装这些应用程序的要求）均发布于2016年。这表明，该活动在过去的两年里从未被检测到过。

通过对命令和控制（C2）服务器的分析，CheckPoint发现其中一个应用程序连接到了一个域名为“firmwaresystemupdate[.]com”的网站。该网站最初解析为伊朗IP地址，但后来更改为了俄罗斯IP地址。

其中一个应用程序连接到firmwaresystemupdate[.]com

所有传递给C2服务器的数据都经过了AES算法加密，可以使用攻击者为每个受害者创建的设备ID进行解密。

共有240人成Domestic Kitten监控对象

在对受感染设备以及收集到的日志文件进行了深入分析之后，CheckPoint确认，到目前为止大约有240名用户成为这场网络间谍活动的受害者。其中97%都是伊朗公民，但也发现了少数来自阿富汗、伊拉克和英国的受害者。

按受感染设备和供应商的受害者分类

从受害者的数量上来看，这场活动的规模似乎很小。但由于关联性，目前已有超过数千人的私人信息遭到窃取。这些人显然都是间接受害者，其信息极有可能是通过目标的联系人列表或与目标的对话（短信或通话）遭到泄露的。

线索指向得到国家支持的伊朗APT组织

CheckPoint表示，虽然这场活动背后组织者的确切身份尚未得到证实，但通过目前对该组织的观察、恶意应用的性质以及所涉及的攻击基础设施都使得他们相信这场活动是由得到国家支持的伊朗APT组织发起的。

“事实上，根据我们与熟悉该国政治环境的情报专家的讨论，伊朗政府实体，如伊斯兰革命卫队（IRGC）、情报部、内政部等，经常对这些群体进行广泛监控。”CheckPoint在其报告中写道，“而这些监控项目是针对可能对伊朗政权稳定构成威胁的个人和团体。这些人可能包括内部异见人士和反对派武装，以及主要定居在伊朗西部的ISIS支持者和库尔德少数民族。”