RedKitten APT iskorištava Microsoft Excel ranjivosti

AUTOR ·

RedKitten APT koristi ranjivosti programa Microsoft Excel u naprednoj kampanji sajber špijunaže usmjerenoj protiv iranskih nevladinih organizacija i aktivista za ljudska prava, pokazuje istraživanje HarfangLab. Time se dodatno ističe značaj snažnih mehanizama za otkrivanje prijetnji, kako bi se odgovorilo na razvijene taktike zlonamjernih aktera.

RedKitten

RedKitten APT iskorištava Microsoft Excel ranjivosti; Source: Bing Image Creator

REDKITTEN KAMPANJA

Identifikacija novootkrivenog zlonamjernog aktera povezanog sa Iranom, označenog kao RedKitten, predstavlja značajan razvoj u kampanjama sajber špijunaže usmjerenim na nevladine organizacije i aktiviste za ljudska prava. Kampanja, aktivna od kraja 2025. godine, pokazuje jasno usmjeren napor na infiltraciju u organizacije koje dokumentuju ili podržavaju proteste i građanske nemire u Iranu.

Pojava RedKitten kao posebnog zlonamjernog aktera ukazuje na evoluciju iranskih sajber sposobnosti. Taktike, tehnike i procedure grupe pokazuju napredno razumijevanje društvenog inženjeringa, zlonamjernih makroa oblikovanih vještačkom inteligencijom i višestepenog zlonamjernog softvera. Ovi alati omogućavaju grupi da se efikasno infiltrira u organizacije, izvuče osjetljive podatke i sprovede stalni nadzor.

Upotreba infrastrukture zasnovane na oblaku i legitimnih komunikacionih platformi za komandovanje i kontrolu dodatno otežava otkrivanje. Zbog toga je neophodno razumjeti tehničke složenosti koje stoje iza RedKitten operacija kako bi se razvile odgovarajuće kontramjere.

Identifikacija RedKitten grupe kao zlonamjernog aktera povezanog sa Iranom naglašava i značaj utvrđivanja porijekla u sajber bezbjednosti. Njihove taktike, tehnike i procedure preklapaju se sa onima poznatih iranskih naprednih trajnih prijetnji (eng. advanced persistent threat – APT) poput Tortoiseshell, Nemesis Kitten i Charming Kitten. Ova sličnost ukazuje na zajedničko razumijevanje među grupama u vezi sa korištenjem zlonamjernih Excel dokumenata, AppDomainManager injekcija i rješenja za prenos podataka zasnovanih na oblaku.

Tehnička složenost kampanje dodatno je istaknuta korištenjem kôda oblikovanog vještačkom inteligencijom za zamagljene makroe i zlonamjerni softver. Upotreba velikih jezičkih modela (eng. large language models – LLM) u ovom kontekstu otežava otkrivanje, jer takav kôd može na prvi pogled izgledati legitimno ili bezopasno.

Da bi se efikasno suprotstavilo operacijama RedKitten grupe, potrebno je razviti detaljno razumijevanje njihovih taktika, tehnika, procedura i tehničkih mogućnosti. To zahtijeva sveobuhvatnu analizu njihovih metoda, kao i ispitivanje alata i infrastrukture koje koriste.

 

Funkcionisanje

Kampanja RedKitten grupe zasniva se na pažljivo osmišljenom načinu ulaska u sisteme žrtava. Prvi korak je slanje arhive sa nazivom na jeziku farsi, koja se distribuira putem elektronske pošte ili poruka na platformama za dopisivanje. Arhiva se predstavlja kao običan prenos datoteka, ali u sebi skriva Excel dokument sa uključenim makroima. Dokument je oblikovan tako da izazove snažnu emotivnu reakciju, jer se u njemu navodno nalaze podaci o stradalim demonstrantima u Teheranu. Upravo ta manipulacija navodi korisnike da bez razmišljanja pokrenu makroe, čime se otvara put za dalju infekciju.

Pokretanjem makroa aktivira se skripta koja ubacuje dinamičku biblioteku u sistemski direktorijum i koristi tehniku ubacivanja u legitimne procese. Na taj način zlonamjerni kôd radi neprimjetno, izbjegavajući standardne mehanizme zaštite. Biblioteka zatim služi kao prenosnik za dodatne komponente, čime se gradi složen lanac infekcije. Ovakav pristup pokazuje poznavanje unutrašnjih mehanizama operativnog sistema i omogućava da se zlonamjerne aktivnosti prikriju u uobičajenim radnjama računara.

Glavni zlonamjerni softver kampanje nosi naziv SloppyMIO. On se povezuje sa komandnim serverom preko Telegram Bot API okruženja, dok mu se podešavanja dostavljaju kroz GitHub skladišta i datoteke na Google Drive platformi, u kojima su podaci sakriveni u slikama. SloppyMIO je građen od više odvojenih dijelova, pa može da izvršava naredbe kroz komandnu liniju, prikuplja i šalje datoteke, upisuje podatke na disk, pokreće procese i obezbjeđuje trajno prisustvo na računaru. Trajnost se postiže zakazanim zadacima koji se ponavljaju u pravilnim razmacima, čime softver ostaje aktivan i nakon pokušaja uklanjanja.

Osim osnovnih funkcija, SloppyMIO preuzima dodatne zlonamjerne programe, čime se širi lanac infekcije i povećava broj inficiranih uređaja. On prikuplja dokumenta, lozinke i podatke sa senzora uređaja, uključujući kameru, mikrofon i lokaciju, naročito kada žrtva nastrada na phishing internet lokacijama. Ovi podaci se koriste za špijunažu, sabotažu ili materijalnu korist. Time se pokazuje da je program prvenstveno osmišljen za obavještajne aktivnosti, ali sa mogućnošću prilagođavanja različitim ciljevima.

RedKitten ne zavisi od jednog kanala, već koristi više platformi za širenje i održavanje infrastrukture. Elektronska pošta, aplikacije za dopisivanje i phishing internet lokacije oblikovane su po uzoru na poznate servise, kao što su WhatsApp i Gmail, i služe za prikupljanje podataka i privlačenje žrtava. Phishing stranice oponašaju originalne servise i traže pristup kameri, mikrofonu i lokaciji, što dodatno povećava obim prikupljenih informacija. Ovakva kombinacija tehnika pokazuje razumijevanje ljudske psihologije i oslanja se na povjerenje korisnika u poznate servise.

Infrastruktura kampanje stalno se mijenja. GitHub skladišta se ažuriraju, Google Drive datoteke rotiraju, a Telegram botovi dobijaju nova podešavanja. Ova stalna promjena otežava otkrivanje i uklanjanje, jer se zlonamjerni akteri brzo prilagođavaju novim bezbjednosnim mjerama. Korištenje poznatih servisa omogućava da se zlonamjerne aktivnosti uklope u uobičajen saobraćaj i time izbjegnu pažnju zaštitnih sistema. Upravo ta sposobnost prilagođavanja čini RedKitten kampanju dugotrajnom i otpornom na pokušaje suzbijanja.

Sagledano u cjelini, RedKitten kombinuje emotivne mamce, tehničke metode prikrivanja, složeni zlonamjerni softver i promjenljivu infrastrukturu. Na taj način postiže da žrtve same otvore put infekciji, da zlonamjerni kod ostane neprimjetan, da se prikupljaju raznovrsni podaci i da se infrastruktura stalno obnavlja. Kampanja pokazuje spoj psiholoških trikova i tehničkog znanja, čime se obezbjeđuje visoka efikasnost i dugotrajno prisustvo u inficiranim sistemima.

 

Utvrđivanja odgovornosti

Pripisivanje aktivnosti RedKitten grupi je izazovno zbog njene dinamične prirode i korištenja različitih platformi i alata. Međutim, analize sugerišu da bi ova kampanja mogla biti povezana sa iranskim akterima na osnovu prisustva tragova na farsi jeziku, tema mamaca i taktičkih sličnosti sa prethodnim kampanjama kao što je Tortoiseshell.

Posebno je vrijedan pažnje fokus zlonamjernog aktera na nevladine organizacije za ljudska prava, aktiviste, akademike, vladine zvaničnike i poslovne lidere u Iranu. Ovaj naglasak na ciljanju pojedinaca koji su uključeni u dokumentovanje ugrožavanja ljudskih prava sugeriše jasan motiv za špijunažu.

Dinamika infrastrukture RedKitten kampanje otežava napore za pripisivanje zbog stalne evolucije platformi, alata i taktika koje koriste ovi akteri. Ova dinamična priroda zahtjeva kontinuirano praćenje i analizu od strane stručnjaka za sajber bezbjednost kako bi se ostalo ispred novih prijetnji poput ove.

 

REDKITTEN APT

Grupa RedKitten, poznata u bezbjednost zajednici kao napredna trajna prijetnja (APT), privukla je pažnju zbog složenih metoda i pažljivo razvijenih postupaka. Kao entitet povezan sa Iranom, njene aktivnosti se preklapaju sa drugim poznatim iranskim grupama poput Tortoiseshell, Nemesis Kitten i Charming Kitten. Ovakva povezanost ukazuje na zajedničke resurse ili koordinaciju među državnim akterima, što dodatno otežava razdvajanje kampanja i precizno pripisivanje napada.

Posebno se ističe upotreba zlonamjernih Excel dokumenata, tehnike ubacivanja kôda kroz AppDomainManager i oslanjanje na tajna odlagališta (eng. dead drop) u oblaku. Ove metode omogućavaju zlonamjernim akterima da ostanu neprimjetni i da se uklapaju u uobičajeni mrežni saobraćaj. Infrastruktura RedKitten grupe zasniva se na legitimnim servisima poput GitHub, Google Drive i Telegram, čime se postiže otpornost i prikrivenost komandno-kontrolnih kanala.

Jedan od najvažnijih pomaka u njihovom djelovanju jeste korištenje vještački generisanog kôda. Veliki jezički modeli (LLM) koriste se za pravljenje zamagljenih makroa i zlonamjernog softvera, što značajno otežava otkrivanje. Ovakav pristup pokazuje kako se nove tehnologije brzo prilagođavaju u zlonamjernom kontekstu i naglašava potrebu da stručnjaci za bezbjednost stalno prate razvoj i prilagođavaju odbrambene mehanizme.

RedKitten ne pokazuje samo tehničku vještinu već i visok nivo operativne bezbjednost. Oslanjanjem na legitimne platforme i pažljivim prikrivanjem aktivnosti, grupa uspijeva da zadrži nisku vidljivost i oteža rad odbrambenim timovima. Njihova sposobnost da se uklapaju u normalan saobraćaj i da koriste resurse koji se inače smatraju pouzdanim čini ih posebno izazovnim protivnikom.

Ciljevi RedKitten kampanja jasno ukazuju na državnu podršku i usmjerenost ka potkopavanju civilnog društva. Napadi se oslanjaju na sadržaje koji koriste osjetljive teme poput protesta i ugrožavanja ljudskih prava u Iranu. Lažni dokumenti i internet stranice, osmišljeni da izgledaju vjerodostojno, služe kao mamci za pojedince i organizacije, dok u pozadini nose zlonamjerne elemente. Ovakav pristup pokazuje razumijevanje psihologije ciljanih grupa i težnju da se oslabe demokratski pokreti kroz prikrivene i teško uočljive metode.

 

UTICAJ

Djelovanje RedKitten grupe snažno utiče na osjećaj sigurnosti među nevladinim organizacijama i aktivistima u Iranu. Njeno prisustvo stvara stalnu prijetnju koja otežava rad na dokumentovanju ugrožavanja prava i društvenih nemira. Time se mijenja način na koji se posmatra digitalna komunikacija, jer svaki dokument ili poruka može nositi rizik.

Psihološki uticaj posebno dolazi do izražaja kroz mamce zasnovane na emotivnim temama. Kada se osjetljivi sadržaji pretvore u sredstvo za napad, oni izazivaju nepovjerenje i strah kod ciljanih pojedinaca. Takva praksa utiče na njihovu spremnost da dijele informacije i da se uključuju u aktivnosti koje zahtijevaju digitalnu razmjenu podataka.

Na tehničkom nivou, RedKitten kampanja pogađa sisteme zaštite jer se zlonamjerne aktivnosti uklapaju u uobičajen saobraćaj. Korištenje poznatih servisa za prenos i kontrolu otežava razlikovanje između legitimnih i zlonamjernih radnji, što povećava pritisak na bezbjednosne timove i mijenja odnos između zlonamjernih aktera i odbrane.

Uticaj se širi i na društveni prostor, jer digitalni napadi povezani sa temama protesta i ljudskih prava postaju sredstvo za potiskivanje građanskog izražavanja. Aktivisti se suočavaju sa dodatnim preprekama, a njihova digitalna prisutnost postaje ranjiva. Ovakva situacija oblikuje atmosferu u kojoj se sloboda djelovanja ograničava kroz stalni nadzor i prikrivene prijetnje.

Promjenljiva infrastruktura kampanje dodatno utiče na dugotrajnost prijetnje. Stalna obnova kanala i prilagođavanje novim uslovima čini da napadi ostaju prisutni i nakon pokušaja suzbijanja. Takva dinamika stvara osjećaj trajne izloženosti i mijenja način na koji se ciljani pojedinci odnose prema digitalnom prostoru.

 

ZAKLJUČAK

RedKitten kampanja pokazuje kako se digitalni napadi razvijaju u pravcu stalne prilagodljivosti i prikrivanja. Njeno djelovanje otvara prostor za razmatranje novih metoda koje se oslanjaju na poznate servise i vještački oblikovan kôd, čime se brišu granice između legitimnog i zlonamjernog sadržaja.

Ovakva praksa ukazuje na promjenu u načinu korištenja digitalnog prostora, gdje napadi prevazilaze tehnički okvir i postaju dio šireg procesa u kojem se tehnologija pretvara u sredstvo kontrole i nadzora.

Kampanja ističe i značaj povezanosti različitih aktera. Sličnosti sa drugim grupama pokazuju da se resursi i znanja dijele, stvarajući mrežu otporniju i teže uočljivu. Time se otvara pitanje granica između državnih interesa i aktivnosti koje se odvijaju u prikrivenom digitalnom prostoru.

Korištenje emotivnih tema i oslanjanje na infrastrukturu koja se stalno mijenja ukazuje na novi oblik djelovanja u kojem se tehničke i društvene dimenzije spajaju. Takva kombinacija čini da RedKitten kampanja ne bude samo tehnički izazov, već i pokazatelj kako se digitalni prostor pretvara u polje dugotrajne borbe za kontrolu informacija.

 

PREPORUKE

Primjena robusnih bezbjednih mjera je ključna u zaštiti od naprednih napada RedKitten APT grupe zlonamjernih aktera. Naredne preporuke mogu značajno pomoći korisnicima i organizacijama da se zaštite od ove prijetnje:

  1. Primjeniti alate za praćenje koji upozoravaju na neuobičajenu upotrebu platformi Telegram, GitHub i Google Drive sa korisničkih radnih stanica. Ovo će pomoći u ranom otkrivanju potencijalnih infekcija i sprječavanju dalje štete.
  2. Makroi bi trebalo da budu podrazumijevano onemogućeni u Microsoft Office aplikacijama kako bi se spriječilo izvršavanje zlonamjernog kôda ugrađenog u dokumente iz nepouzdanih izvora. Korisnici mogu da omoguće makroe samo kada je to potrebno, ali to ne bi trebalo da bude uobičajena praksa.
  3. Obuka o svjesnosti korisnika je ključna za prepoznavanje ciljanih phishing pokušaja i prijavljivanje sumnjivih aktivnosti. Ovo je posebno važno za nevladine organizacije, aktiviste, akademike, novinare, vladine zvaničnike i poslovne lidere sa vezama sa iranskom dijasporom ili kurdskom zajednicom koji su vjerovatne mete kampanje RedKitten.
  4. Praćenje krajnjih tačaka treba da se implementira kako bi se otkrilo neobično ponašanje na korisničkim radnim stanicama. Ovo će pomoći u ranom identifikovanju potencijalnih infekcija i sprječavanju dalje štete.
  5. Bezbjednosni timovi treba da prate kreiranje zakazanih zadataka, jer je ovo uobičajena taktika koju RedKitten koristi za izvršavanje zlonamjernog kôda.
  6. Redovna ažuriranja treba primjenjivati na sav softver i operativne sisteme kako bi se osiguralo da su poznate ranjivosti ispravljene prije nego što ih zlonamjerni akteri mogu iskoristiti.
  7. Segmentacija mreže podrazumijeva podjelu interne mreže na manje, izolovane segmente na osnovu funkcije ili odjeljenja. Ovo će pomoći u ograničavanju širenja zlonamjernog softvera u slučaju infekcije.
  8. Bezbjedni komunikacioni kanali treba da se koriste za komunikaciju osjetljivih informacija i izbjegavanje korištenja neobezbijeđenih usluga elektronske pošte koje zlonamjerni akteri mogu ugroziti.
  9. Kontrole pristupa, kao što je provjeru identiteta u više koraka (eng. multi-factor authentication – MFA), treba da se primjenjuju kako bi se spriječio neovlašteni pristup internim sistemima i podacima.
  10. Redovno pravite rezervne kopije kritičnih podataka na bezbjednoj lokaciji van mreže organizacije kako bi se osiguralo da se mogu brzo oporaviti u slučaju infekcije.
  11. Planovi odgovora na sajber prijetnje treba da se sprovedu kako bi se definisale procedure za reagovanje na bezbjednosne incidente, uključujući strategije zadržavanja i iskorjenjivanja.
  12. Treba sprovoditi redovne bezbjednosne revizije kako bi se otkrile ranjivosti i slabosti u sistemima i procesima organizacije.
  13. Robusni mehanizmi evidentiranja, kao što su alati za agregaciju evidentiranja, treba da se primjenjuju kako bi se obezbijedio uvid u aktivnosti sistema i rano otkrili potencijalni bezbjednosni incidenti.
  14. Prilikom prenosa osjetljivih informacija preko mreže treba koristiti bezbjedne komunikacione protokole, kao što su HTTPS ili SFTP.
  15. Najbolje prakse upravljanja identitetom, uključujući kontrole pristupa sa najmanjim privilegijama, trebalo bi da se primjene kako bi se spriječio neovlašteni pristup internim sistemima i podacima.
  16. Bezbjednosne politike i procedure treba redovno preispitati i ažurirati kako bi se osiguralo da ostanu efikasne u sprječavanju bezbjednosnih incidenata.

Sprovođenje ovih preporuka značajno će smanjiti rizik od toga da se postane žrtva naprednih napada RedKitten APT kampanje, koja je dizajnirana da iskoriste ranjivosti u sistemima i procesima organizacija.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.