الساحرة هريرة APT

الساحرة هريرة APT الوصف

تعد Charming Kitten ، المعروفة أيضًا باسم APT35 ، تهديدًا متقدمًا ومستمرًا ، وهي مجموعة قراصنة لها علاقات إيرانية مشتبه بها. المجموعة معروفة أيضًا بأسماء أخرى: الفوسفور وفريق أياكس الأمني وفريق المذيعين. لقد لوحظ أن Charming Kitten لديها حملات ذات دوافع سياسية ، ولكن أيضًا حملات مدفوعة لأسباب مالية. إنهم يستهدفون نشطاء حقوق الإنسان والمؤسسات الإعلامية والقطاع الأكاديمي. كانت غالبية حملاتهم تضغط من أجل شن هجمات على المملكة المتحدة والولايات المتحدة وإيران وإسرائيل.

حملات هريرة الساحرة

نُفِّذت واحدة من أكثر العمليات الموسعة التي قامت بها مجموعة المتسللين ضد HBO في عام 2017. سرب المجرمون الإلكترونيون حوالي تيرابايت من البيانات مع معلومات شخصية عن موظفي الشركة ، والعروض القادمة ، والمزيد. تضمنت الهجمات الأخرى التي نفذتها Charming Kitten ، والمعروفة أيضًا باسم APT35 ، الوصول إلى بيانات مفصلة من خلال منشق عن سلاح الجو الأمريكي وتزوير موقع ويب لشركة أمن إلكتروني إسرائيلية لسرقة تفاصيل تسجيل الدخول. والهجوم الذي قيدهم بإيران كان عملية عام 2018 استهدفت نشطاء سياسيين أثرت في العقوبات التي استهدفت البلاد. استخدم عملاء Charming Kitten رسائل البريد الإلكتروني المخادعة التي تحتوي على مرفقات ضارة والهندسة الاجتماعية للظهور كمحترفين رفيعي المستوى.

الزاوية الإيرانية للقطط الساحرة

كانت حملات التصيد الاحتيالي المستهدفة جزءًا من الطريقة التي تمارس بها APT35 (Charming Kitten) أعمالها ، كما يتضح من حملتها لعام 2019 التي تهدف إلى انتحال شخصية صحفيي وول ستريت جورنال السابقين. لقد استخدموا هذا النهج لإغراق مخالبهم في ضحاياهم من خلال الوعد بإجراء مقابلات أو دعوات إلى ندوات عبر الإنترنت ، غالبًا حول مواضيع الشؤون الإيرانية والدولية في ذلك الوقت.
في إحدى هذه الحالات ، قام المهاجمون بتأليف بريد إلكتروني باللغة العربية بهوية مزيفة يقلد فيها فرناز فاسيحي ، موظف سابق في وول ستريت جورنال يعمل 17 عامًا للنشر. قدم عملاء Charming Kitten هذه الشخصية المزيفة على أنها لا تزال تعمل لصالح WSJ.

طلب مقابلة وهمية. المصدر: blog.certfa.com

كانت محتويات البريد الإلكتروني على النحو التالي:

مرحبا *** ***** ******
اسمي فرناز فسيحي. أنا صحفي في صحيفة وول ستريت جورنال.
يعتزم فريق الشرق الأوسط في وول ستريت جورنال تقديم أفراد غير محليين ناجحين في البلدان المتقدمة. قادتني أنشطتك في مجالات البحث وفلسفة العلوم إلى تقديمك كإيراني ناجح. طلب منا مدير فريق الشرق الأوسط إجراء مقابلة معك ومشاركة بعض إنجازاتك المهمة مع جمهورنا. يمكن لهذه المقابلة أن تحفز شباب بلدنا الحبيب على اكتشاف مواهبهم والمضي قدماً نحو النجاح.
وغني عن القول إن هذه المقابلة شرف كبير لي شخصيًا ، وأحثك على قبول دعوتي للمقابلة.
تم تصميم الأسئلة بشكل احترافي من قبل مجموعة من زملائي وسيتم نشر المقابلة الناتجة في قسم المقابلة الأسبوعية في وول ستريت جورنال. سأرسل لك أسئلة ومتطلبات المقابلة بمجرد قبولك.
* حاشية سفلية: غير محلي يشير إلى الأشخاص الذين ولدوا في بلدان أخرى.
شكرا لك على لطفك واهتمامك.
فرناز فسيحي

كانت الروابط داخل رسائل البريد الإلكتروني بتنسيق URL قصير ، وغالبًا ما تستخدمه الجهات المهددة لإخفاء الروابط المشروعة وراءها ، بهدف جمع بيانات عناوين IP ، والمتصفح ، وإصدارات نظام التشغيل والمزيد. وقد ساعد ذلك في تمهيد الطريق لمزيد من الهجمات من خلال بناء الثقة من خلال التواصل المتكرر والاستعداد للحظة للتصرف.

بمجرد إنشاء الثقة بمرور الوقت ، يرسل المتسللون رابطًا يحتوي على أسئلة المقابلة المزعومة. أظهرت عينات فريق الاستجابة للطوارئ الحاسوبية بالفارسية (CERTFA) أن المهاجمين كانوا يستخدمون طريقة يستخدمها المتصيدون في السنوات الأخيرة ، مع الصفحات التي تستضيفها مواقع Google.

بمجرد أن تفتح الضحية الرابط ، قد تتم إعادة توجيههم إلى صفحة مزيفة أخرى تحاول تسجيل بيانات اعتماد تسجيل الدخول الخاصة بهم ورمز المصادقة الثنائية من خلال استخدام مجموعة التصيد الاحتيالي.

ملخص عمليات القطط الساحرة

في عام 2015 ، اكتشف الباحثون الموجة الأولى من هجمات التصيد الاحتيالي ، مع اكتشاف عمليات تجسس لاحقة على نطاق واسع من 2016 إلى 2017 من قبل الباحثين في ClearSky. استخدم مشغلو Charming Kitten هجمات انتحال الهوية ، والتصيد بالرمح ، وهجمات ثقب الري.

في عام 2018 ، قام مجرمو الإنترنت من Charming Kitten بمطاردة ClearSky من خلال موقع ويب احتيالي ينتحل شخصية بوابة شركة الأمان. تم تحديد المزيد من الهجمات في ذلك العام ضد أهداف في الشرق الأوسط بحملة بريد إلكتروني مزيفة ومواقع ويب مزيفة.

في عام 2019 ، توسعت أنشطة Charming Kitten (APT35) من خلال استهداف غير الإيرانيين في الولايات المتحدة والشرق الأوسط وفرنسا ، مع استهداف الشخصيات العامة من خارج الأكاديميين الذين كانوا يذهبون إليها في البداية. بدأوا في إرفاق أداة تعقب بمراسلات البريد الإلكتروني الخاصة بهم لمتابعة رسائل البريد الإلكتروني المُعاد توجيهها إلى حسابات أخرى ، بهدف الحصول على بيانات تحديد الموقع الجغرافي.

>>> تحديث 10 مايو 2020 - APT35 (قطة ساحرة) متورطة في حملة قرصنة COVID-19

كشفت مجموعة من أرشيفات الويب المتاحة للجمهور والتي راجعها خبراء الأمن السيبراني أن مجموعة القرصنة الإيرانية المعروفة باسم Charming Kitten ، من بين أسماء أخرى ، كانت وراء هجوم إلكتروني في أبريل / نيسان ضد شركة الأدوية Gilead Sciences Inc ومقرها كاليفورنيا والتي شاركت في أبحاث COVID-19.

في إحدى الحالات التي صادفها الباحثون الأمنيون ، استخدم المتسللون صفحة تسجيل دخول بريد إلكتروني مزيفة تم تصميمها خصيصًا لسرقة كلمات المرور من مسؤول تنفيذي كبير في شركة Gilead ، يشارك في شؤون الشركة والشؤون القانونية. تم العثور على الهجوم على موقع ويب يستخدم لفحص عناوين الويب بحثًا عن نشاط ضار ، لكن الباحثين لم يتمكنوا من تحديد ما إذا كان ناجحًا أم لا.
أحد المحللين الذين بحثوا في الهجوم كان أوهاد زيدنبرغ من شركة الأمن السيبراني الإسرائيلية ClearSky. وعلق بأن هجوم أبريل / نيسان على جلياد كان محاولة لتسوية حسابات البريد الإلكتروني للشركات برسالة تنتحل شخصية تحقيق صحفي. أكد محللون آخرون ، لم يكونوا مخولين بالتعليق علنًا منذ ذلك الحين ، أن الهجوم استخدم نطاقات وخوادم كانت تستخدمها في السابق مجموعة القرصنة الإيرانية المعروفة باسم Charming Kitten.

تتجه مجموعات الهاكرز المناسبة

مخطط مجموعات APT Hacker الرائج - المصدر: Securitystack.co

نفت البعثة الدبلوماسية الإيرانية لدى الأمم المتحدة أي تورط لها في مثل هذه الهجمات ، حيث صرح المتحدث علي رضا ميريوسفي بأن "الحكومة الإيرانية لا تشارك في حرب إلكترونية" ، مضيفًا أن "الأنشطة الإلكترونية التي تشارك فيها إيران هي أنشطة دفاعية بحتة ولحماية من مزيد من الهجمات على البنية التحتية الإيرانية ".

اتبعت جلعاد سياسة الشركة بشأن مناقشة مسائل الأمن السيبراني ورفضت التعليق. حظيت الشركة باهتمام كبير مؤخرًا ، حيث إنها مُصنِّع عقار ريمديزفير المضاد للفيروسات ، والذي يُعد حاليًا العلاج الوحيد الذي ثبت أنه يساعد المرضى المصابين بفيروس كوفيد -19. جلعاد هي أيضًا واحدة من الشركات التي تقود البحث والتطوير لعلاج المرض الفتاك ، مما يجعلها هدفًا رئيسيًا لجهود جمع المعلومات الاستخبارية.