APT35

APT35 الوصف

هجمات مجموعة القراصنة apt35 APT35 (التهديد المستمر المتقدم) هي مجموعة قرصنة يعتقد أنها مصدرها إيران. تُعرف مجموعة القرصنة هذه أيضًا بالعديد من الأسماء المستعارة الأخرى - Newscaster Team و Phosphorus و Charming Kitten و Ajax Security Team. عادة ما تشارك مجموعة القرصنة APT35 في كل من الحملات ذات الدوافع السياسية ، وكذلك الحملات ذات الدوافع المالية. تميل مجموعة القرصنة APT35 إلى تركيز جهودها ضد الجهات الفاعلة المشاركة في نشاط حقوق الإنسان ، والمؤسسات الإعلامية المختلفة ، والقطاع الأكاديمي بشكل أساسي. يتم تنفيذ معظم الحملات في الولايات المتحدة وإسرائيل وإيران والمملكة المتحدة.

حملات APT35 الشعبية

واحدة من أكثر عمليات APT35 شهرة هي تلك التي نُفذت ضد HBO والتي حدثت في عام 2017. حيث سربت APT35 أكثر من 1 تيرابايت من البيانات ، والتي تتكون من التفاصيل الشخصية للموظفين والعروض ، والتي لم يتم بثها رسميًا بعد. حملة APT35 الشائنة الأخرى التي وضعتهم على الخريطة هي الحملة التي شارك فيها أيضًا منشق عن سلاح الجو الأمريكي. ساعد الشخص المعني APT35 في الوصول إلى البيانات الحكومية السرية. في عام 2018 ، أنشأت مجموعة APT35 موقعًا على شبكة الإنترنت كان من المفترض أن يقلد شركة أمن إلكتروني إسرائيلية شرعية. كان الاختلاف الوحيد هو أن الموقع المزيف يحتوي على اسم مجال تم تغييره قليلاً. ساعدت هذه الحملة APT35 في الحصول على تفاصيل تسجيل الدخول لبعض عملاء الشركة. نُفِّذت أحدث حملة شائنة شملت APT35 في ديسمبر 2018. في هذه العملية ، عملت مجموعة APT35 تحت الاسم المستعار Charming Kitten. استهدفت هذه العملية ناشطين سياسيين مختلفين كان لهم تأثير في العقوبات الاقتصادية ، وكذلك العقوبات العسكرية المفروضة على إيران في ذلك الوقت. قدمت مجموعة APT35 مهنيين رفيعي المستوى يشاركون في نفس المجالات مثل أهدافهم. استخدم المهاجمون رسائل بريد إلكتروني مخصصة للتصيد الاحتيالي تحتوي على مرفقات مزيفة ، بالإضافة إلى ملفات تعريف وهمية على وسائل التواصل الاجتماعي.

التصيد الاحتيالي مع رسائل البريد الإلكتروني لمقابلة وهمية

تعد حملات التصيد المستهدفة جزءًا من طريقة عمل Charming Kitten ، حيث يستخدم المتسللون رسائل البريد الإلكتروني المزيفة والهندسة الاجتماعية كطرق تنفيذ. في إحدى حملات عام 2019 ، انتحلت مجموعة Charming Kitten صفة صحفيين سابقين في وول ستريت جورنال (WSJ) وتواصلت مع ضحاياهم المقصودين بسيناريو مقابلة مزيفة. كما تم رصد المجموعة باستخدام سيناريوهات مختلفة ، مثل "مقابلة CNN" و "Invitation to a Deutsche Welle Webinar" ، عادةً حول مواضيع الشؤون الإيرانية والدولية.

في إحدى الحالات ، أنشأ المهاجمون بريدًا إلكترونيًا مزيفًا باللغة العربية ، مستخدمين هوية فرناز فاسيحي ، وهو صحفي حاليًا في نيويورك تايمز ، والذي عمل سابقًا في صحيفة وول ستريت جورنال لمدة 17 عامًا. ومن المثير للاهتمام أن المخترقين قدموا فرناز فاسيحي على أنها تعمل لدى صاحب عملها السابق ، وول ستريت جورنال.


بريد إلكتروني لطلب مقابلة وهمية - المصدر: blog.certfa.com

ترجمة البريد الإلكتروني:

مرحبا *** ***** ******
اسمي فرناز فاصحي. أنا صحفي في صحيفة وول ستريت جورنال.
يعتزم فريق الشرق الأوسط في وول ستريت جورنال تقديم أفراد غير محليين ناجحين في البلدان المتقدمة. قادتني أنشطتك في مجالات البحث وفلسفة العلوم إلى تقديمك كإيراني ناجح. طلب منا مدير فريق الشرق الأوسط إجراء مقابلة معك ومشاركة بعض إنجازاتك المهمة مع جمهورنا. يمكن لهذه المقابلة أن تحفز شباب بلدنا الحبيب على اكتشاف مواهبهم والمضي قدماً نحو النجاح.
وغني عن القول إن هذه المقابلة شرف كبير لي شخصيًا ، وأحثك على قبول دعوتي للمقابلة.
تم تصميم الأسئلة بشكل احترافي من قبل مجموعة من زملائي وسيتم نشر المقابلة الناتجة في قسم المقابلة الأسبوعية في وول ستريت جورنال. سأرسل لك أسئلة ومتطلبات المقابلة بمجرد قبولك.
* حاشية سفلية: غير محلي يشير إلى الأشخاص الذين ولدوا في بلدان أخرى.
شكرا لك على لطفك واهتمامك.
فرناز فسيحي

كانت جميع الروابط الواردة في رسائل البريد الإلكتروني بتنسيق URL مختصر ، والذي استخدمه المتسللون لإرشاد ضحيتهم إلى عناوين مشروعة ، أثناء جمع المعلومات الأساسية حول أجهزتهم ، مثل نظام التشغيل والمتصفح وعنوان IP. هذه المعلومات كانت مطلوبة من المتسللين استعدادًا للهجوم الرئيسي على أهدافهم.


نموذج لصفحة WSJ وهمية مستضافة على مواقع Google - المصدر: blog.certfa.com

بعد إنشاء ثقة نسبية مع الهدف المقصود ، سيرسل المتسللون إليهم رابطًا فريدًا ، يُزعم أنه يحتوي على أسئلة المقابلة. وفقًا للعينات التي تم اختبارها من قبل فريق الاستجابة للطوارئ الحاسوبية باللغة الفارسية (CERTFA) ، يستخدم المهاجمون طريقة جديدة نسبيًا اكتسبت شهرة كبيرة بين المخادعين خلال العام الماضي ، وهي استضافة صفحات على مواقع Google.

بمجرد أن تنقر الضحية على زر "تنزيل" في صفحة موقع Google ، ستتم إعادة توجيهها إلى صفحة مزيفة أخرى ستحاول جمع بيانات اعتماد تسجيل الدخول لعنوان بريدها الإلكتروني وكود المصادقة الثنائية ، باستخدام مجموعات التصيد الاحتيالي مثل Modlishka.

APT35's DownPaper Malware

أداة DownPaper عبارة عن حصان طروادة خلفي يستخدم في الغالب كحمولة للمرحلة الأولى ولديه القدرة على:

  • قم بتأسيس اتصال بخادم C&C (القيادة والتحكم) الخاص بالمهاجم وتلقي الأوامر والحمولات الضارة ، والتي سيتم تنفيذها على المضيف المخترق.
  • اكتسب المثابرة من خلال العبث بسجل Windows.
  • اجمع معلومات حول النظام المخترق ، مثل بيانات الأجهزة والبرامج.
  • نفذ أوامر CMD و PowerShell.

مجموعة القرصنة APT35 هي مجموعة ثابتة جدًا من الأفراد ، ومن غير المرجح أن يخططوا لوقف أنشطتهم في أي وقت قريب. مع الأخذ في الاعتبار أن المناخ السياسي في جميع أنحاء إيران كان ساخنًا لفترة من الوقت ، فمن المحتمل أن نستمر في الاستماع إلى حملات مجموعة APT35 في المستقبل.

تحديث 10 مايو 2020 - APT35 تشارك في حملة القرصنة COVID-19

كشفت مجموعة من أرشيفات الويب المتاحة للجمهور والتي راجعها خبراء الأمن السيبراني أن مجموعة القرصنة الإيرانية المعروفة باسم Charming Kitten ، من بين أسماء أخرى ، كانت وراء هجوم إلكتروني في أبريل / نيسان ضد شركة الأدوية Gilead Sciences Inc ومقرها كاليفورنيا والتي شاركت في أبحاث COVID-19.

في إحدى الحالات التي صادفها الباحثون الأمنيون ، استخدم المتسللون صفحة تسجيل دخول بريد إلكتروني مزيفة تم تصميمها خصيصًا لسرقة كلمات المرور من مسؤول تنفيذي كبير في شركة Gilead ، يشارك في شؤون الشركات والشؤون القانونية. تم العثور على الهجوم على موقع ويب يستخدم لفحص عناوين الويب بحثًا عن نشاط ضار ، لكن الباحثين لم يتمكنوا من تحديد ما إذا كان ناجحًا أم لا.

تتجه مجموعات الهاكرز المناسبة
مخطط مجموعات APT Hacker الرائج - المصدر: Securitystack.co

أحد المحللين الذين بحثوا في الهجوم كان أوهاد زيدنبرغ من شركة الأمن السيبراني الإسرائيلية ClearSky. وعلق بأن هجوم أبريل / نيسان على جلياد كان محاولة لتسوية حسابات البريد الإلكتروني للشركات برسالة انتحلت شخصية تحقيق صحفي. أكد محللون آخرون ، لم يكن مصرح لهم بالتعليق علنًا ، أن الهجوم استخدم نطاقات وخوادم كانت تستخدمها في السابق مجموعة القرصنة الإيرانية المعروفة باسم Charming Kitten.

نفت البعثة الدبلوماسية الإيرانية لدى الأمم المتحدة أي تورط لها في مثل هذه الهجمات ، حيث صرح المتحدث علي رضا ميريوسفي بأن "الحكومة الإيرانية لا تشارك في حرب إلكترونية" ، مضيفًا أن "الأنشطة السيبرانية التي تشارك فيها إيران هي أنشطة دفاعية بحتة ولحماية من مزيد من الهجمات على البنية التحتية الإيرانية ".

الدول المستهدفة المهاجمين إيران
البلدان المستهدفة في الحملات الإيرانية الأخيرة على الإنترنت - المصدر: Stratfor.com

اتبعت جلعاد سياسة الشركة بشأن مناقشة مسائل الأمن السيبراني ورفضت التعليق. حظيت الشركة بالكثير من الاهتمام مؤخرًا ، حيث أنها مُصنِّعة لعقار Remdesivir المضاد للفيروسات ، والذي يُعد حاليًا العلاج الوحيد الذي ثبت أنه يساعد المرضى المصابين بـ COVID-19. جلعاد هي أيضًا واحدة من الشركات التي تقود البحث والتطوير لعلاج المرض الفتاك ، مما يجعلها هدفًا رئيسيًا لجهود جمع المعلومات الاستخبارية.