APT35

APT35 Beskrivelse

apt35 hackergruppeangreb APT35 (Advanced Persistent Threat) er en hackergruppe, der menes at stamme fra Iran. Denne hackergruppe er også kendt under flere andre aliaser - Newscaster Team, Phosphorus, Charming Kitten og Ajax Security Team. APT35-hackinggruppen er normalt involveret i både politisk motiverede kampagner såvel som økonomisk motiverede. APT35-hackergruppen har en tendens til at koncentrere deres indsats mod aktører involveret i menneskerettighedsaktivisme, forskellige medieorganisationer og hovedsagelig den akademiske sektor. De fleste af kampagnerne udføres i USA, Israel, Iran og Storbritannien.

Populære APT35-kampagner

En af de mest berygtede APT35-operationer er den, der blev udført mod HBO, der fandt sted i 2017. I den lækkede APT35 over 1 TB data, som bestod af personalets personlige detaljer og shows, som endnu ikke var blevet sendt officielt. En anden berygtet APT35-kampagne, der satte dem på kortet, er den, der også involverede en afhopper fra det amerikanske luftvåben. Den pågældende person hjalp APT35 med at få adgang til klassificerede statslige data. I 2018 byggede APT35-gruppen et websted, der var beregnet til at efterligne et legitimt israelsk cybersikkerhedsfirma. Den eneste forskel var, at den falske hjemmeside havde et lidt ændret domænenavn. Denne kampagne hjalp APT35 med at få loginoplysningerne for nogle af virksomhedens kunder. Den seneste berygtede kampagne, der involverede APT35, blev gennemført i december 2018. I denne operation opererede APT35-gruppen under aliaset Charming Kitten. Denne operation var rettet mod forskellige politiske aktivister, der havde indflydelse på de økonomiske sanktioner, såvel som militære sanktioner, der blev pålagt Iran på det tidspunkt. APT35-gruppen poserede som højtstående fagfolk, der var involveret i de samme områder som deres mål. Angriberne brugte skræddersyede phishing-e-mails med falske vedhæftede filer samt falske profiler på sociale medier.

Phishing med falske interview-e-mails

Målrettede phishing-kampagner er en del af Charming Kittens modus operandi, hvor hackerne bruger falske e-mails og social engineering som eksekveringsmetoder. I en kampagne i 2019 efterlignede Charming Kitten-gruppen tidligere Wall Street Journal (WSJ) journalister og henvendte sig til deres påtænkte ofre med et falsk interviewscenarie. Gruppen er også blevet set ved hjælp af forskellige scenarier, såsom ''CNN Interview'' og ''Invitation to a Deutsche Welle Webinar'', normalt omkring emner af iranske og internationale anliggender.

I et bestemt tilfælde oprettede angriberne en falsk e-mail på arabisk ved at bruge identiteten af Farnaz Fassihi, i øjeblikket en New York Times-journalist, som tidligere havde arbejdet for The Wall Street Journal i 17 år. Interessant nok præsenterede hackerne Farnaz Fassihi som arbejdende for sin tidligere arbejdsgiver, The Wall Street Journal.


Falsk e-mail med anmodning om interview - Kilde: blog.certfa.com

E-mail oversættelse:

Hej *** ***** ******
Mit navn er Farnaz Fasihi. Jeg er journalist på avisen Wall Street Journal.
Mellemøsten-teamet i WSJ har til hensigt at introducere succesrige ikke-lokale individer i udviklede lande. Dine aktiviteter inden for forsknings- og videnskabsfilosofi fik mig til at introducere dig som en succesrig iraner. Direktøren for Mellemøsten-teamet bad os om at lave et interview med dig og dele nogle af dine vigtige præstationer med vores publikum. Dette interview kunne motivere ungdommen i vores elskede land til at opdage deres talenter og bevæge sig hen imod succes.
Det er overflødigt at sige, at dette interview er en stor ære for mig personligt, og jeg opfordrer dig til at tage imod min invitation til interviewet.
Spørgsmålene er designet professionelt af en gruppe af mine kolleger, og det resulterende interview vil blive offentliggjort i WSJ's Ugentlige Interviewsektion. Jeg sender dig spørgsmålene og kravene til samtalen, så snart du accepterer.
*Fodnote: Ikke-lokale henviser til personer, der er født i andre lande.
Tak for din venlighed og opmærksomhed.
Farnaz Fasihi

Alle links indeholdt i e-mails var i forkortet URL-format, som blev brugt af hackere til at guide deres offer til legitime adresser, mens de indsamlede væsentlige oplysninger om deres enheder, såsom operativsystem, browser og IP-adresse. Disse oplysninger var nødvendige fra hackerne som forberedelse til hovedangrebet på deres mål.


Eksempel på falsk WSJ-side hostet på Google Sites – Kilde: blog.certfa.com

Efter at have etableret relativ tillid til det tilsigtede mål, ville hackerne sende dem et unikt link, der angiveligt indeholder interviewspørgsmålene. Ifølge prøver testet af Computer Emergency Response Team i Farsi (CERTFA) bruger angriberne en relativt ny metode, der har vundet stor popularitet blandt phishere i løbet af det seneste år, idet de hoster sider på Google Sites.

Når offeret klikker på knappen ''Download'' på Google-webstedets side, vil de blive omdirigeret til en anden falsk side, der vil forsøge at indsamle loginoplysninger til deres e-mailadresse og deres to-faktor-godkendelseskode ved hjælp af phishing-sæt som Modlishka.

APT35s DownPaper Malware

DownPaper-værktøjet er en bagdørs trojaner, som for det meste bruges som en første-trins nyttelast og har evnerne til at:

  • Etabler en forbindelse med angriberens C&C (Command & Control) server og modtag kommandoer og skadelige nyttelaster, som skal udføres på den infiltrerede vært.
  • Få vedholdenhed ved at manipulere med Windows-registreringsdatabasen.
  • Indsaml oplysninger om det kompromitterede system, såsom hardware- og softwaredata.
  • Udfør CMD- og PowerShell-kommandoer.

APT35-hacking-gruppen er en meget vedholdende gruppe af individer, og det er usandsynligt, at de planlægger at stoppe deres aktiviteter foreløbig. Når man husker på, at det politiske klima omkring Iran har været varmt i et stykke tid, er det sandsynligt, at vi vil blive ved med at høre om APT35-gruppens kampagner i fremtiden.

Opdatering 10. maj 2020 - APT35 involveret i COVID-19-hackingkampagne

Et sæt offentligt tilgængelige webarkiver gennemgået af cybersikkerhedseksperter afslørede, at den iranske hackergruppe kendt som Charming Kitten, blandt andre navne, stod bag et cyberangreb i april mod Gilead Sciences Inc. Californien-baserede lægemiddelfirma involveret i COVID-19-forskning.

I et af de tilfælde, som sikkerhedsforskerne stødte på, brugte hackerne en falsk e-mail-loginside, der var specifikt designet til at stjæle adgangskoder fra en topchef i Gilead, involveret i virksomheds- og juridiske anliggender. Angrebet blev fundet på et websted, der bruges til at scanne webadresser for ondsindet aktivitet, men forskerne var ikke i stand til at afgøre, om det lykkedes.

populære hackergrupper
Trending APT Hacker Groups Chart - Kilde: Securitystack.co

En af analytikerne, der undersøgte angrebet, var Ohad Zaidenberg fra det israelske cybersikkerhedsfirma ClearSky. Han kommenterede, at april-angrebet mod Gilead var et forsøg på at kompromittere virksomhedens e-mail-konti med en besked, der efterlignede en journalistforespørgsel. Andre analytikere, som ikke var autoriseret til at kommentere offentligt, har siden bekræftet, at angrebet brugte domæner og servere, som tidligere blev brugt af den iranske hackergruppe kendt som Charming Kitten.

Irans diplomatiske mission til FN har nægtet enhver involvering i sådanne angreb , og talsmand Alireza Miryousefi udtalte, at "Den iranske regering engagerer sig ikke i cyberkrigsførelse," tilføjer "Cyberaktiviteter Iran deltager i er rent defensive og for at beskytte mod yderligere angreb på iransk infrastruktur."

målrettede lande iranske angribere
Lande, der er målrettet i de seneste iranske cyberkampagner - Kilde: Stratfor.com

Gilead har fulgt virksomhedens politik for at diskutere cybersikkerhedsspørgsmål og har afvist at kommentere. Virksomheden har fået stor opmærksomhed på det seneste, da det er producenten af det antivirale lægemiddel remdesivir, som i øjeblikket er den eneste behandling, der har vist sig at hjælpe patienter inficeret med COVID-19. Gilead er også en af de virksomheder, der leder forskningen og udviklingen af en behandling for den dødelige sygdom, hvilket gør den til et primært mål for indsatsen for indsamling af efterretninger.