Charmerende killing APT
Charming Kitten, også kendt som APT35 , er en avanceret vedvarende trussel, en hackergruppe med formodede iranske bånd. Gruppen er også kendt under andre navne: Phosphorus, Ajax Security Team og Newscaster Team. Det er blevet observeret, at Charming Kitten har politisk motiverede kampagner, men også dem, der er motiveret af økonomiske årsager. De sigter mod menneskerettighedsaktivister, medieorganisationer og den akademiske sektor. Størstedelen af deres kampagner pressede på for angreb på Storbritannien, USA, Iran og Israel.
Indholdsfortegnelse
Charmerende killingekampagner
En af de mere ekspansive operationer, som hackergruppen gennemførte, blev udført mod HBO i 2017. De cyberkriminelle lækkede om en terabyte af data med personlige oplysninger om virksomhedens personale, kommende shows og mere. Andre angreb iscenesat af Charming Kitten, også kendt som APT35, omfattede adgang til detaljerede data gennem en afhopper fra det amerikanske luftvåben og spoofing af et israelsk cybersikkerhedsfirmas hjemmeside for at stjæle loginoplysninger. Angrebet, der bandt dem til Iran, var en operation i 2018 rettet mod politiske aktivister, der påvirkede sanktionerne rettet mod landet. Charming Kitten-operatører brugte phishing-e-mails med ondsindede vedhæftede filer og social engineering til at posere som højtplacerede fagfolk.
Den iranske vinkel for charmerende killing
Målrettede phishing-kampagner var en del af den måde, APT35 (Charming Kitten) driver forretning på, som det kunne ses med deres 2019-kampagne, der havde til formål at efterligne tidligere Wall Street Journal-journalister. De brugte den tilgang til at synke deres kløer i deres ofre med løftet om interviews eller invitationer til webinarer, ofte om emnerne iranske og internationale anliggender på det tidspunkt.
I et af disse tilfælde skrev angriberne en e-mail på arabisk under den falske identitet, der efterlignede den virkelige Farnaz Fassihi, en tidligere Wall Street Journal-medarbejder med 17 år arbejde for udgivelsen. The Charming Kitten-agenter præsenterede denne falske person som stadig arbejder for WSJ.
Falsk interviewanmodning. Kilde: blog.certfa.com
E-mailens indhold var som følger:
Hej *** ***** ******
Mit navn er Farnaz Fasihi. Jeg er journalist på avisen Wall Street Journal.
Mellemøsten-teamet i WSJ har til hensigt at introducere succesrige ikke-lokale individer i udviklede lande. Dine aktiviteter inden for forsknings- og videnskabsfilosofi fik mig til at introducere dig som en succesrig iraner. Direktøren for Mellemøsten-teamet bad os om at lave et interview med dig og dele nogle af dine vigtige præstationer med vores publikum. Dette interview kunne motivere ungdommen i vores elskede land til at opdage deres talenter og bevæge sig mod succes.
Det er overflødigt at sige, at dette interview er en stor ære for mig personligt, og jeg opfordrer dig til at tage imod min invitation til interviewet.
Spørgsmålene er designet professionelt af en gruppe af mine kolleger, og det resulterende interview vil blive offentliggjort i WSJ's Ugentlige Interviewsektion. Jeg sender dig spørgsmålene og kravene til samtalen, så snart du accepterer.
*Fodnote: Ikke-lokalt refererer til personer, der er født i andre lande.
Tak for din venlighed og opmærksomhed.
Farnaz Fasihi
Linkene i e-mails var i et kort URL-format, der ofte blev brugt af trusselsaktører til at skjule legitime links bag dem, med henblik på dataindsamling af IP-adresser, browser- og OS-versioner og mere. Det var med til at bane vejen for yderligere angreb ved at opbygge tillid med gentagen kommunikation og forberede sig på øjeblikkelig handling.
Når tillid er etableret over tid, sender hackerne et link, der indeholder de påståede interviewspørgsmål. Eksempler fra Computer Emergency Response Team i Farsi (CERTFA) viste, at angriberne brugte en metode, der er brugt af phishere i de seneste år, med sider, der hostes af Google Sites.
Når offeret åbner linket, kan de blive omdirigeret til en anden falsk side, der forsøger at registrere deres loginoplysninger og to-faktor autentificeringskode ved brug af et phishing-kit.
Oversigt over charmerende killinger operationer
I 2015 blev den første bølge af phishing-angreb opdaget af forskere, og senere spionageoperationer i massiv skala blev opdaget fra 2016 til 2017 af forskere ved ClearSky. Charming Kitten-operatørerne brugte efterligning, spear-phishing og vandhulsangreb.
I 2018 gik Charming Kitten-cyberkriminelle efter ClearSky med et svigagtigt websted, der efterlignede sikkerhedsfirmaets portal. Flere angreb blev identificeret det år mod mellemøstlige mål med en falsk e-mail-kampagne og falske websteder.
I 2019 udvidede Charming Kitten-aktiviteterne (APT35) sig ved at målrette mod ikke-iranere i USA, Mellemøsten og Frankrig, med målretning mod offentlige personer uden for de akademiske djævler, de oprindeligt gik efter. De begyndte at vedhæfte en tracker til deres e-mail-korrespondance for at følge e-mails videresendt til andre konti, med det formål at indhente geolokationsdata.
>>>Opdatering 10. maj 2020 - APT35 (Charming Kitten) involveret i COVID-19 Hacking Campaign
Et sæt offentligt tilgængelige webarkiver gennemgået af cybersikkerhedseksperter afslørede, at den iranske hackergruppe kendt som Charming Kitten, blandt andre navne, stod bag et cyberangreb i april mod Gilead Sciences Inc. Californien-baserede lægemiddelfirma involveret i COVID-19-forskning.
I et af de tilfælde, som sikkerhedsforskerne stødte på, brugte hackerne en falsk e-mail-loginside, der var specifikt designet til at stjæle adgangskoder fra en topchef i Gilead, involveret i virksomheds- og juridiske anliggender. Angrebet blev fundet på et websted, der bruges til at scanne webadresser for ondsindet aktivitet, men forskerne var ikke i stand til at afgøre, om det lykkedes.
En af analytikerne, der undersøgte angrebet, var Ohad Zaidenberg fra det israelske cybersikkerhedsfirma ClearSky. Han kommenterede, at april-angrebet mod Gilead var et forsøg på at kompromittere virksomhedens e-mail-konti med en besked, der efterlignede en journalistforespørgsel. Andre analytikere, som ikke var autoriseret til at kommentere offentligt, har siden bekræftet, at angrebet brugte domæner og servere, som tidligere blev brugt af den iranske hackergruppe kendt som Charming Kitten.
Trending APT Hacker Groups Chart - Kilde: Securitystack.co
Irans diplomatiske mission til FN har afvist enhver involvering i sådanne angreb, hvor talsmand Alireza Miryousefi udtalte, at "Den iranske regering engagerer sig ikke i cyberkrigsførelse," tilføjer "Cyberaktiviteter, Iran deltager i, er rent defensive og for at beskytte mod yderligere angreb på iransk infrastruktur."
Gilead har fulgt virksomhedens politik for at diskutere cybersikkerhedsspørgsmål og afvist at kommentere. Virksomheden har fået stor opmærksomhed på det seneste, da det er producenten af det antivirale lægemiddel remdesivir, som i øjeblikket er den eneste behandling, der har vist sig at hjælpe patienter inficeret med COVID-19. Gilead er også en af de virksomheder, der leder forskningen og udviklingen af en behandling for den dødelige sygdom, hvilket gør den til et primært mål for indsatsen for indsamling af efterretninger.
