APT35

APT35 (Advanced Persistent Threat) یک گروه هکری است که گمان می رود منشا آن از ایران باشد. این گروه هکری با نام‌های مستعار دیگری نیز شناخته می‌شود - تیم Newscaster، Phosphorus، Charming Kitten و Ajax Security Team. گروه هک APT35 معمولاً هم در کمپین هایی با انگیزه سیاسی و هم در کمپین هایی با انگیزه مالی درگیر است. گروه هک APT35 تمایل دارد تلاش های خود را بر علیه بازیگران درگیر در فعالیت های حقوق بشری، سازمان های رسانه ای مختلف و عمدتاً بخش دانشگاهی متمرکز کند. بیشتر کمپین ها در ایالات متحده، اسرائیل، ایران و بریتانیا انجام می شود.

کمپین های محبوب APT35

یکی از بدنام ترین عملیات APT35، عملیاتی است که علیه HBO در سال 2017 انجام شد. در آن، APT35 بیش از 1 ترابایت داده را به بیرون درز کرد که شامل اطلاعات شخصی کارکنان و نمایش هایی بود که هنوز به طور رسمی پخش نشده بود. یکی دیگر از کمپین بدنام APT35 که آنها را روی نقشه قرار داد، کمپین دیگری است که در آن یک فراری از نیروی هوایی ایالات متحده نیز حضور داشت. فرد مورد نظر به APT35 در دسترسی به داده های طبقه بندی شده دولتی کمک کرد. در سال 2018، گروه APT35 وب سایتی ساخت که قرار بود از یک شرکت امنیتی سایبری قانونی اسرائیل تقلید کند. تنها تفاوت این بود که وب سایت جعلی دارای یک نام دامنه کمی تغییر یافته بود. این کمپین به APT35 کمک کرد تا جزئیات ورود برخی از مشتریان شرکت را دریافت کند. آخرین کمپین بدنام مربوط به APT35 در دسامبر 2018 انجام شد. در این عملیات، گروه APT35 تحت نام مستعار Charming Kitten فعالیت می کرد. این عملیات، فعالان سیاسی مختلفی را هدف قرار داد که در تحریم‌های اقتصادی و همچنین تحریم‌های نظامی اعمال شده علیه ایران در آن زمان تأثیر داشتند. گروه APT35 به‌عنوان افراد حرفه‌ای رده‌بالا درگیر در همان زمینه‌هایی که هدف‌هایشان بود، ظاهر شدند. مهاجمان از ایمیل‌های فیشینگ سفارشی حاوی پیوست‌های جعلی و همچنین پروفایل‌های جعلی رسانه‌های اجتماعی استفاده کردند.

فیشینگ با ایمیل های مصاحبه جعلی

کمپین‌های فیشینگ هدفمند بخشی از شیوه‌ی عملیات Charming Kitten است که هکرها از ایمیل‌های جعلی و مهندسی اجتماعی به عنوان روش‌های اجرایی استفاده می‌کنند. در یکی از کمپین‌های سال 2019، گروه گربه‌های جذاب جعل هویت روزنامه‌نگاران سابق وال استریت ژورنال (WSJ) شدند و با سناریوی مصاحبه جعلی به قربانیان مورد نظر خود نزدیک شدند. این گروه همچنین با استفاده از سناریوهای مختلف، مانند "مصاحبه CNN" و "دعوت به یک وبینار دویچه وله"، معمولاً در مورد موضوعات مربوط به امور ایران و بین المللی دیده شده است.

در یک مورد خاص، مهاجمان با استفاده از هویت فرناز فصیحی، روزنامه‌نگار نیویورک تایمز که قبلاً 17 سال برای وال استریت ژورنال کار کرده بود، ایمیلی جعلی به زبان عربی ایجاد کردند. جالب اینجاست که هکرها فرناز فصیحی را به عنوان کارمند سابقش، وال استریت ژورنال، معرفی کردند.

ایمیل درخواست مصاحبه جعلی - منبع: blog.certfa.com

ترجمه ایمیل:

سلام *** ***** ******
من فرناز فصیحی هستم. من روزنامه نگار روزنامه وال استریت ژورنال هستم.
تیم خاورمیانه WSJ در نظر دارد افراد موفق غیر محلی را در کشورهای توسعه یافته معرفی کند. فعالیت های شما در زمینه های پژوهشی و فلسفه علم باعث شد تا شما را به عنوان یک ایرانی موفق معرفی کنم. مدیر تیم خاورمیانه از ما خواست تا با شما مصاحبه ای ترتیب دهیم و برخی از دستاوردهای مهم شما را با مخاطبان خود در میان بگذاریم. این مصاحبه می تواند انگیزه جوانان کشور عزیزمان را برای کشف استعدادها و حرکت به سمت موفقیت ایجاد کند.
ناگفته نماند که این مصاحبه برای شخص من افتخار بزرگی است و از شما تقاضا دارم که دعوت من را برای مصاحبه پذیرا باشید.
سوالات به صورت حرفه ای توسط گروهی از همکارانم طراحی شده و مصاحبه حاصله در بخش مصاحبه هفتگی WSJ منتشر خواهد شد. به محض قبولی سوالات و شرایط مصاحبه رو براتون میفرستم.
*پاورقی: غیر محلی به افرادی اطلاق می شود که در کشورهای دیگر متولد شده اند.
ممنون از لطف و توجه شما.
فرناز فصیحی

تمامی لینک‌های موجود در ایمیل‌ها با فرمت URL کوتاه شده بودند که توسط هکرها برای راهنمایی قربانی خود به آدرس‌های قانونی و جمع‌آوری اطلاعات ضروری در مورد دستگاه‌های خود مانند سیستم عامل، مرورگر و آدرس IP استفاده می‌شد. این اطلاعات از هکرها برای آماده شدن برای حمله اصلی به اهداف مورد نیاز بود.

نمونه صفحه جعلی WSJ میزبانی شده در سایت های گوگل - منبع: blog.certfa.com

پس از ایجاد اعتماد نسبی با هدف مورد نظر، هکرها یک لینک منحصر به فرد را برای آنها ارسال می کنند که ظاهراً حاوی سؤالات مصاحبه است. بر اساس نمونه‌های آزمایش شده توسط تیم پاسخگویی اضطراری رایانه‌ای به زبان فارسی (CERTFA)، مهاجمان از روش نسبتا جدیدی استفاده می‌کنند که طی سال گذشته محبوبیت زیادی در بین فیشرها به دست آورده است، میزبانی صفحات در سایت‌های گوگل.

هنگامی که قربانی روی دکمه «دانلود» در صفحه Google Site کلیک کند، به صفحه جعلی دیگری هدایت می‌شود که با استفاده از کیت‌های فیشینگ مانند Modlishka، سعی می‌کند اعتبار ورود به آدرس ایمیل و کد احراز هویت دو مرحله‌ای خود را جمع‌آوری کند.

بدافزار DownPaper APT35

ابزار DownPaper یک تروجان درب پشتی است که بیشتر به عنوان محموله مرحله اول استفاده می شود و دارای قابلیت های زیر است:

• با سرور C&C (Command & Control) مهاجم ارتباط برقرار کنید و دستورات و بارهای مضر را دریافت کنید که قرار است روی هاست نفوذی اجرا شوند.
• با دستکاری در رجیستری ویندوز ماندگاری خود را به دست آورید.
• اطلاعات مربوط به سیستم در معرض خطر را جمع آوری کنید، مانند داده های سخت افزاری و نرم افزاری.
• دستورات CMD و PowerShell را اجرا کنید.

گروه هک APT35 یک گروه بسیار پایدار از افراد است، و بعید است که آنها قصد دارند به این زودی فعالیت های خود را متوقف کنند. با در نظر گرفتن اینکه مدتی است فضای سیاسی در اطراف ایران داغ شده است، احتمالاً در آینده همچنان در مورد کمپین های گروه APT35 خواهیم شنید.

به‌روزرسانی 10 مه 2020 - APT35 در کمپین هک COVID-19 شرکت دارد

مجموعه‌ای از آرشیوهای وب در دسترس عموم که توسط کارشناسان امنیت سایبری بررسی شد، نشان داد که گروه هکر ایرانی معروف به بچه گربه جذاب، در میان نام‌های دیگر، پشت یک حمله سایبری در آوریل علیه شرکت دارویی کالیفرنیایی Gilead Sciences که در تحقیقات کووید-۱۹ دخیل بود، بود.

در یکی از مواردی که محققان امنیتی با آن مواجه شدند، هکرها از یک صفحه ورود ایمیل جعلی استفاده کردند که به طور خاص برای سرقت رمزهای عبور از یکی از مدیران ارشد Gilead که در امور حقوقی و شرکتی مشارکت داشت، طراحی شده بود. این حمله در وب سایتی یافت شد که برای اسکن آدرس های وب برای فعالیت های مخرب استفاده می شود، اما محققان قادر به تعیین موفقیت آمیز بودن آن نبودند.

نمودار گروه های هکر APT پرطرفدار - منبع: Securitystack.co

یکی از تحلیلگرانی که در مورد این حمله تحقیق کرد، اوحد زایدنبرگ از شرکت امنیت سایبری اسرائیلی ClearSky بود. او اظهار داشت که حمله آوریل علیه گیلیاد تلاشی برای به خطر انداختن حساب‌های ایمیل شرکتی با پیامی بود که جعل هویت یک تحقیق روزنامه‌نگار بود. تحلیلگران دیگری که مجاز به اظهار نظر علنی نبودند، تأیید کردند که در این حمله از دامنه‌ها و سرورهایی استفاده شده است که قبلاً توسط گروه هکر ایرانی موسوم به Charming Kitten استفاده می‌شد.

نمایندگی دیپلماتیک ایران در سازمان ملل هرگونه دخالت در چنین حملاتی را تکذیب کرده است و علیرضا میریوسفی، سخنگوی آن با بیان اینکه «دولت ایران وارد جنگ سایبری نمی‌شود»، افزود: «فعالیت‌های سایبری که ایران در آن شرکت می‌کند صرفاً دفاعی و برای محافظت در برابر حملات بیشتر است. زیرساخت های ایرانی."

کشورهای هدف کمپین های اخیر سایبری ایران - منبع: Stratfor.com

Gilead از سیاست شرکت در بحث در مورد مسائل امنیت سایبری پیروی کرده و از اظهار نظر خودداری کرده است. این شرکت اخیراً توجه زیادی را به خود جلب کرده است، زیرا سازنده داروی ضد ویروسی رمدسیویر است که در حال حاضر تنها درمانی است که به بیماران مبتلا به کووید-19 کمک می کند. Gilead همچنین یکی از شرکت‌هایی است که تحقیقات و توسعه درمانی برای این بیماری کشنده را رهبری می‌کند و آن را به هدف اصلی برای تلاش‌های جمع‌آوری اطلاعات تبدیل می‌کند.