APT35

APT35 Описание

apt35 хакерски групови атаки APT35 (Advanced Persistent Threat) е хакерска група, за която се смята, че произхожда от Иран. Тази хакерска група е известна и под няколко други псевдоними – Newscaster Team, Phosphorus, Charming Kitten и Ajax Security Team. Хакерската група APT35 обикновено участва както в политически мотивирани кампании, така и във финансово мотивирани кампании. Хакерската група APT35 има тенденция да концентрира усилията си срещу участници в активизма за правата на човека, различни медийни организации и предимно академичния сектор. Повечето от кампаниите се провеждат в САЩ, Израел, Иран и Обединеното кралство.

Популярни APT35 кампании

Една от най-известните операции на APT35 е тази, извършена срещу HBO, която се проведе през 2017 г. При нея APT35 изтече над 1TB данни, състоящи се от лични данни и предавания на персонала, които тепърва предстояха да бъдат излъчени официално. Друга скандална кампания на APT35, която ги постави на картата, е тази, която включваше и дезертьор от ВВС на САЩ. Въпросното лице помогна на APT35 да получи достъп до класифицирани правителствени данни. През 2018 г. групата APT35 изгради уебсайт, който трябваше да имитира легитимна израелска компания за киберсигурност. Единствената разлика беше, че фалшивият уебсайт имаше леко променено име на домейн. Тази кампания помогна на APT35 да получи данните за влизане на някои от клиентите на компанията. Последната скандална кампания с участието на APT35 беше проведена през декември 2018 г. В тази операция групата APT35 действаше под псевдонима Charming Kitten. Тази операция беше насочена към различни политически активисти, които имаха влияние върху икономическите санкции, както и военните санкции, наложени срещу Иран по това време. Групата APT35 се представи като високопоставени професионалисти, участващи в същите области като техните цели. Нападателите са използвали персонализирани фишинг имейли, носещи фалшиви прикачени файлове, както и фалшиви профили в социалните медии.

Фишинг с фалшиви имейли за интервю

Насочените фишинг кампании са част от начина на действие на Charming Kitten, като хакерите използват фалшиви имейли и социално инженерство като методи за изпълнение. В една кампания от 2019 г., групата Charming Kitten се представя за бивши журналисти на Wall Street Journal (WSJ) и се приближи до планираните им жертви със сценарий за фалшиво интервю. Групата също е забелязана да използва различни сценарии, като „Интервю на CNN“ и „Покана за уебинар на Deutsche Welle“, обикновено около теми от ирански и международни въпроси.

В един конкретен случай нападателите създадоха фалшив имейл на арабски, използвайки самоличността на Фарназ Фасихи, понастоящем журналист на New York Times, който преди това е работил за The Wall Street Journal в продължение на 17 години. Интересното е, че хакерите представиха Фарназ Фасихи като работеща за бившия си работодател, The Wall Street Journal.


Фалшив имейл с искане за интервю - Източник: blog.certfa.com

Превод на имейл:

Здравейте *** ***** ******
Казвам се Фарназ Фасихи. Аз съм журналист във вестник Wall Street Journal.
Екипът на Близкия изток на WSJ възнамерява да представи успешни неместни хора в развитите страни. Вашите дейности в областта на изследванията и философията на науката ме накараха да ви представя като успешен иранец. Директорът на екипа за Близкия изток ни помоли да организираме интервю с вас и да споделим някои от вашите важни постижения с нашата публика. Това интервю може да мотивира младите хора на нашата любима страна да открият своите таланти и да вървят към успех.
Излишно е да казвам, че това интервю е голяма чест за мен лично и ви призовавам да приемете поканата ми за интервюто.
Въпросите са проектирани професионално от група мои колеги и полученото интервю ще бъде публикувано в раздела Седмично интервю на WSJ. Ще ви изпратя въпросите и изискванията на интервюто веднага щом приемете.
*Бележка под линия: Неместен се отнася за хора, които са родени в други страни.
Благодаря ви за любезността и вниманието.
Фарназ Фасихи

Всички връзки, съдържащи се в имейлите, бяха в съкратен URL формат, който беше използван от хакери, за да насочат жертвата си към легитимни адреси, като същевременно събираха основна информация за техните устройства, като операционна система, браузър и IP адрес. Тази информация беше необходима от хакерите в подготовката за основната атака срещу техните цели.


Извадка от фалшива WSJ страница, хоствана в Google Sites – Източник: blog.certfa.com

След като установят относително доверие с набелязаната цел, хакерите ще им изпратят уникална връзка, която уж съдържа въпросите за интервюто. Според проби, тествани от компютърния екип за спешно реагиране на фарси (CERTFA), нападателите използват сравнително нов метод, който придоби голяма популярност сред фишърите през последната година, като хостват страници в Google Sites.

След като жертвата щракне върху бутона „Изтегляне“ на страницата на Google Site, тя ще бъде пренасочена към друга фалшива страница, която ще се опита да събере идентификационни данни за вход за техния имейл адрес и техния двуфакторен код за удостоверяване, използвайки фишинг комплекти като Modlishka.

Зловреден софтуер DownPaper на APT35

Инструментът DownPaper е бекдор троянски кон, който се използва предимно като полезен товар от първи етап и има възможностите за:

  • Установете връзка с C&C (Command & Control) сървър на нападателя и получавайте команди и вредни полезни товари, които трябва да се изпълняват на инфилтрирания хост.
  • Спечелете постоянство чрез подправяне на системния регистър на Windows.
  • Съберете информация за компрометираната система, като хардуерни и софтуерни данни.
  • Изпълнете CMD и PowerShell команди.

Хакерската група APT35 е много упорита група от хора и е малко вероятно те да планират да спрат дейностите си скоро. Имайки предвид, че политическият климат около Иран се нажежава от известно време, вероятно ще продължим да чуваме за кампаниите на групата APT35 в бъдеще.

Актуализация 10 май 2020 г. - APT35 участва в кампанията за хакерство на COVID-19

Набор от публично достъпни уеб архиви, прегледани от експерти по киберсигурност, разкриха, че иранската хакерска група, известна като Charming Kitten, наред с други имена, стои зад априлска кибератака срещу базираната в Gilead Sciences Inc Калифорния фармацевтична компания, участваща в изследванията на COVID-19.

В един от случаите, на които се натъкнаха изследователите по сигурността, хакерите са използвали фалшива страница за влизане по имейл, която е специално проектирана да краде пароли от висш изпълнителен директор на Gilead, участващ в корпоративни и правни въпроси. Атаката беше открита на уебсайт, който се използва за сканиране на уеб адреси за злонамерена дейност, но изследователите не успяха да определят дали е била успешна.

актуални подходящи хакерски групи
Диаграма на набиращите популярност APT хакерски групи – Източник: Securitystack.co

Един от анализаторите, които изследваха атаката, беше Охад Зайденберг от израелската фирма за киберсигурност ClearSky. Той коментира, че априлската атака срещу Gilead е опит за компрометиране на корпоративни имейл акаунти със съобщение, което се представя за журналистическо запитване. Други анализатори, които не бяха упълномощени да коментират публично, оттогава потвърдиха, че атаката е използвала домейни и сървъри, които преди са били използвани от иранската хакерска група, известна като Charming Kitten.

Дипломатическата мисия на Иран към ООН отрече каквото и да е участие в подобни атаки , като говорителят Алиреза Мирюсефи заяви, че „Иранското правителство не участва в кибервойна“, добавяйки „Кибердейностите, в които се ангажира Иран, са чисто отбранителни и за защита срещу по-нататъшни атаки на Иранска инфраструктура“.

насочени към ирански нападатели
Държави, насочени към последните ирански кибер кампании – Източник: Stratfor.com

Gilead следва политиката на компанията за обсъждане на въпроси, свързани с киберсигурността, и отказа да коментира. Компанията получи много внимание напоследък, тъй като е производител на антивирусното лекарство ремдесивир, което в момента е единственото средство за лечение, което доказано помага на пациенти, заразени с COVID-19. Gilead също е една от компаниите, водещи изследванията и разработването на лечение за смъртоносната болест, което я прави основна цел за усилията за събиране на разузнавателна информация.