Threat Database Advanced Persistent Threat (APT) Pisicuță fermecătoare APT

Pisicuță fermecătoare APT

Charming Kitten, cunoscută și sub numele de APT35 , este o amenințare persistentă avansată, un grup de hackeri cu presupuse legături iraniene. Grupul este cunoscut și sub alte nume: Phosphorus, Ajax Security Team și Newscaster Team. S-a observat că Charming Kitten are campanii motivate politic, dar și cele motivate din motive financiare. Acestea vizează activiștii pentru drepturile omului, organizațiile media și sectorul academic. Majoritatea campaniilor lor au făcut presiuni pentru atacuri asupra Regatului Unit, Statelor Unite, Iranului și Israelului.

Campanii fermecătoare pentru pisoi

Una dintre cele mai extinse operațiuni întreprinse de grupul de hackeri a fost efectuată împotriva HBO în 2017. Infractorii cibernetici au scurs despre un terabyte de date cu informații personale despre personalul companiei, emisiuni viitoare și multe altele. Alte atacuri organizate de Charming Kitten, alias APT35, au inclus accesul la date detaliate printr-un dezertor al forțelor aeriene americane și falsificarea site-ului web al unei companii israeliene de securitate cibernetică pentru a fura detaliile de conectare. Atacul care i-a legat de Iran a fost o operațiune din 2018 vizată de activiști politici care a influențat sancțiunile împotriva țării. Operatorii Charming Kitten au folosit e-mailuri de phishing cu atașamente rău intenționate și inginerie socială pentru a se prezenta ca profesioniști de rang înalt.

Unghiul iranian pentru un pisoi fermecător

Campaniile de phishing direcționate au făcut parte din modul în care APT35 (Charming Kitten) face afaceri, așa cum s-a putut vedea în campania lor din 2019, care a vizat uzurparea identității foștilor jurnaliști din Wall Street Journal. Ei au folosit această abordare pentru a-și înfunda ghearele în victimele lor, cu promisiunea unor interviuri sau invitații la seminarii web, adesea pe subiecte ale afacerilor iraniene și internaționale la acea vreme.
Într-unul dintre aceste cazuri, atacatorii au compus un e-mail în arabă sub identitatea falsă, imitându-l pe Farnaz Fassihi din viața reală, un fost angajat al Wall Street Journal cu 17 ani de muncă pentru publicație. Operatorii Charming Kitten au prezentat această persoană falsă ca lucrând încă pentru WSJ.

Cerere falsă de interviu. Sursa: blog.certfa.com

Conținutul e-mailului a fost următorul:

Buna ziua *** ***** ******
Numele meu este Farnaz Fasihi. Sunt jurnalist la ziarul Wall Street Journal.
Echipa din Orientul Mijlociu a WSJ intenționează să introducă persoane de succes non-locale în țările dezvoltate. Activitățile tale în domeniile cercetării și filozofiei științei m-au determinat să te prezint ca un iranian de succes. Directorul echipei din Orientul Mijlociu ne-a cerut să stabilim un interviu cu dumneavoastră și să împărtășim câteva dintre realizările dumneavoastră importante cu publicul nostru. Acest interviu i-ar putea motiva pe tinerii din țara noastră iubită să-și descopere talentele și să se îndrepte către succes.
Inutil să spun că acest interviu este o mare onoare pentru mine personal și vă îndemn să acceptați invitația mea la interviu.
Întrebările sunt concepute profesional de un grup de colegi, iar interviul rezultat va fi publicat în secțiunea Interviu Săptămânal a WSJ. Îți voi trimite întrebările și cerințele interviului imediat ce vei accepta.
*Notă de subsol: non-local se referă la persoanele care s-au născut în alte țări.
Vă mulțumim pentru amabilitate și atenție.
Farnaz Fasihi

Legăturile din e-mailuri erau într-un format URL scurt, adesea folosit de actorii amenințărilor pentru a ascunde legăturile legitime în spatele lor, având ca scop colectarea de date despre adrese IP, browser și versiuni ale sistemului de operare și multe altele. Acest lucru a ajutat la deschiderea drumului către alte atacuri prin construirea încrederii prin comunicare repetată și pregătirea pentru momentul de a acționa.

Odată ce încrederea este stabilită în timp, hackerii trimit un link care conține presupusele întrebări de interviu. Eșantioanele Computer Emergency Response Team in Farsi (CERTFA) au arătat că atacatorii foloseau o metodă folosită de phisheri în ultimii ani, cu paginile găzduite de Google Sites.

Odată ce victima deschide linkul, aceasta poate fi redirecționată către o altă pagină falsă care încearcă să își înregistreze acreditările de conectare și codul de autentificare cu doi factori prin utilizarea unui kit de phishing.

Rezumatul operațiunilor cu pisicuțe fermecătoare

În 2015, primul val de atacuri de tip phishing a fost descoperit de cercetători, operațiunile de spionaj ulterioare la scară masivă fiind descoperite din 2016 până în 2017 de către cercetătorii de la ClearSky. Operatorii Charming Kitten au folosit uzurparea identității, spear-phishing și atacuri în gaură.

În 2018, infractorii cibernetici Charming Kitten s-au urmărit pe ClearSky cu un site web fraudulos care uzurpa identitatea portalului companiei de securitate. Mai multe atacuri au fost identificate în acel an împotriva țintelor din Orientul Mijlociu cu o campanie de e-mail falsă și site-uri web false.

În 2019, activitățile Charming Kitten (APT35) s-au extins prin țintirea persoanelor care nu sunt iraniene din SUA, Orientul Mijlociu și Franța, cu vizarea unor personalități publice din afara amatorilor academicieni la care se îndreptau inițial. Ei au început să atașeze un tracker la corespondența lor de e-mail pentru a urmări e-mailurile redirecționate către alte conturi, intenționând să obțină date de geolocalizare.

>>>Actualizare 10 mai 2020 - APT35 (pisoi fermecător) implicat în campania de hacking COVID-19

Un set de arhive web disponibile public, examinate de experții în securitate cibernetică, a dezvăluit că grupul iranian de hacking cunoscut sub numele de Charming Kitten, printre alte nume, s-a aflat în spatele unui atac cibernetic din aprilie împotriva companiei de medicamente Gilead Sciences Inc din California, implicată în cercetarea COVID-19.

Într-unul dintre cazurile pe care cercetătorii de securitate le-au întâlnit, hackerii au folosit o pagină de autentificare de e-mail falsă, care a fost special concepută pentru a fura parolele unui director de top Gilead, implicat în afaceri corporative și juridice. Atacul a fost găsit pe un site web care este folosit pentru a scana adresele web pentru activități rău intenționate, dar cercetătorii nu au putut determina dacă a avut succes.
Unul dintre analiștii care au cercetat atacul a fost Ohad Zaidenberg de la firma israeliană de securitate cibernetică ClearSky. El a comentat că atacul din aprilie împotriva lui Gilead a fost un efort de a compromite conturile de e-mail corporative cu un mesaj care a uzurpat identitatea unei anchete a jurnaliştilor. Alți analiști, care nu au fost autorizați să comenteze public, au confirmat de atunci că atacul a folosit domenii și servere care au fost folosite anterior de grupul iranian de hacking cunoscut sub numele de Charming Kitten.

grupuri de hackeri apt în tendințe

Trending APT Hacker Groups Chart - Sursa: Securitystack.co

Misiunea diplomatică a Iranului la Națiunile Unite a negat orice implicare în astfel de atacuri, purtătorul de cuvânt Alireza Miryousefi afirmând că „Guvernul iranian nu se implică în război cibernetic”, adăugând „Activitățile cibernetice în care se angajează Iranul sunt pur defensive și pentru a proteja împotriva altor atacuri asupra Infrastructura iraniană”.

Gilead a respectat politica companiei privind discutarea problemelor de securitate cibernetică și a refuzat să comenteze. Compania a primit multă atenție recent, deoarece este producătorul medicamentului antiviral remdesivir, care este în prezent singurul tratament dovedit că ajută pacienții infectați cu COVID-19. Gilead este, de asemenea, una dintre companiile care conduc cercetarea și dezvoltarea unui tratament pentru boala mortală, făcându-l o țintă principală pentru eforturile de culegere de informații.

Trending

Cele mai văzute

Se încarcă...