Первые сообщения о деятельности хакерской группы CopyKittens (они же Rocket Kittens) были опубликованы специалистами ClearSky еще в 2015 году. При этом эксперты предполагают, что группировка активна как минимум с 2013 года, а жертвами CopyKittens становятся организации и частные лица (включая дипломатов и исследователей) в Израиле, Саудовской Аравии, Турции, США, Иордании и Германии. Среди жертв группы были замечены правительственные организации, исследовательские институты, IT-компании, оборонные предприятия и подрядчики военных, муниципальные учреждения и так далее.

Новые отчеты, опубликованные специалистами Trend Micro и ClearSky, посвящены операции «Увядший тюльпан» (Operation Wilted Tulip) и подробно рассказывают о кибершпионской деятельности CopyKittens, их инструментах и тактиках, инфраструктуре и «почерке» группировки.

Аналитики рассказывают, что группа полагается на разные техники, включая атаки watering hole, то есть компрометацию сайтов, которые часто посещают намеченные жертвы. К примеру, специалисты обнаружили, что в ходе своих кампаний злоумышленники использовали методику watering hole на The Jerusalem Post, Maariv news и IDF Disabled Veterans.

Также CopyKittens распространяют малварь и более традиционными способами:

  • через вредоносные ссылки в письмах, ведущие на подконтрольные злоумышленникам сайты;
  • через вредоносные документы Office и эксплуатацию уязвимости CVE-2017-0199 (с тех пор, как этот баг еще был 0-day);
  • через взлом веб-серверов, уязвимости на которых обнаруживаются с помощью сканеров Havij, sqlmap и Acunetix;
  • через фальшивые профили в социальных сетях, которые призваны завоевать доверие будущих жертв, и могут использоваться для отправки вредоносных ссылок.

В арсенале группировки присутствует не только кастомная малварь, написанная самими хакерами, но и такие известные инструменты, как бэкдор TDTESS, Matryoshka RAT, Vminst, Cobalt Strike, Mimikatz, Metasploit, ZPP и так далее.

Хотя специалисты до сих пор не могут с точностью сказать, «под флагом» какой страны действуют CopyKittens, одним из наиболее вероятных подозреваемых (основываясь на списке целей группировки) является Иран.