APT جذاب بچه گربه

APT جذاب بچه گربه

گربه جذاب، همچنین به عنوان APT35 شناخته می شود، یک تهدید دائمی پیشرفته، یک گروه هکری است که مشکوک به روابط ایرانی است. این گروه با نام‌های دیگری نیز شناخته می‌شود: فسفر، تیم امنیتی آژاکس، و تیم خبررسان. مشاهده شده است که بچه گربه جذاب کمپین هایی با انگیزه سیاسی دارد، اما همچنین کمپین هایی با انگیزه های مالی. هدف آنها فعالان حقوق بشر، سازمان های رسانه ای و بخش دانشگاهی است. اکثر مبارزات آنها برای حمله به بریتانیا، ایالات متحده، ایران و اسرائیل فشار می آوردند.

کمپین های جذاب بچه گربه ها

یکی از عملیات گسترده‌تر انجام شده توسط این گروه هکری در سال 2017 علیه HBO انجام شد. مجرمان سایبری حدود یک ترابایت داده حاوی اطلاعات شخصی کارکنان شرکت، نمایش‌های آینده و موارد دیگر را به بیرون درز کردند. سایر حملاتی که توسط Charming Kitten، با نام مستعار APT35 انجام شد، شامل دسترسی به اطلاعات دقیق از طریق فراری از نیروی هوایی ایالات متحده و جعل وب سایت یک شرکت امنیت سایبری اسرائیلی برای سرقت جزئیات ورود بود. حمله ای که آنها را به ایران گره زد، عملیاتی در سال 2018 بود که هدف آن فعالان سیاسی بود که بر تحریم ها علیه این کشور تأثیر گذاشتند. عوامل جذاب بچه گربه از ایمیل های فیشینگ با پیوست های مخرب و مهندسی اجتماعی استفاده کردند تا به عنوان افراد حرفه ای در رتبه بالا ظاهر شوند.

زاویه ایرانی برای بچه گربه جذاب

کمپین های فیشینگ هدفمند بخشی از روش کسب و کار APT35 (گربه جذاب) بود، همانطور که در کمپین سال 2019 آنها با هدف جعل هویت روزنامه نگاران سابق وال استریت ژورنال مشاهده شد. آنها با وعده مصاحبه یا دعوت به وبینارها، اغلب در مورد موضوعات ایرانی و بین المللی در آن زمان، از این رویکرد برای فرو بردن پنجه های خود در قربانیان خود استفاده کردند.
در یکی از این موارد، مهاجمان با تقلید از فرناز فصیحی، کارمند سابق وال استریت ژورنال که 17 سال در این نشریه کار می کرد، ایمیلی به زبان عربی با هویت جعلی نوشتند. عوامل گربه جذاب این شخصیت جعلی را به عنوانی که هنوز برای WSJ کار می کند معرفی کردند.

درخواست مصاحبه جعلی منبع: blog.certfa.com

محتوای ایمیل به شرح زیر بود:

سلام *** ***** ******
من فرناز فصیحی هستم. من روزنامه نگار روزنامه وال استریت ژورنال هستم.
تیم خاورمیانه WSJ در نظر دارد افراد موفق غیر محلی را در کشورهای توسعه یافته معرفی کند. فعالیت های شما در زمینه های پژوهشی و فلسفه علم باعث شد تا شما را به عنوان یک ایرانی موفق معرفی کنم. مدیر تیم خاورمیانه از ما خواست تا با شما مصاحبه ای ترتیب دهیم و برخی از دستاوردهای مهم شما را با مخاطبان خود در میان بگذاریم. این مصاحبه می تواند انگیزه جوانان کشور عزیزمان را برای کشف استعدادها و حرکت به سمت موفقیت ایجاد کند.
ناگفته نماند که این مصاحبه برای شخص من افتخار بزرگی است و از شما تقاضا دارم که دعوت من را برای مصاحبه پذیرا باشید.
سوالات به صورت حرفه ای توسط گروهی از همکاران من طراحی شده و مصاحبه حاصل در بخش مصاحبه هفتگی WSJ منتشر خواهد شد. به محض قبولی سوالات و شرایط مصاحبه رو براتون میفرستم.
*پاورقی: غیر محلی به افرادی اطلاق می شود که در کشورهای دیگر متولد شده اند.
ممنون از لطف و توجه شما.
فرناز فصیحی

پیوندهای درون ایمیل‌ها در قالب URL کوتاهی بودند که اغلب توسط عوامل تهدید برای پنهان کردن پیوندهای قانونی پشت آن‌ها، با هدف جمع‌آوری داده‌های آدرس‌های IP، مرورگرها و نسخه‌های سیستم‌عامل و موارد دیگر استفاده می‌شد. این امر با ایجاد اعتماد با ارتباطات مکرر و آماده شدن برای لحظه اقدام، راه را برای حملات بیشتر هموار کرد.

هنگامی که اعتماد در طول زمان ایجاد شد، هکرها پیوندی را ارسال می کنند که حاوی سؤالات مصاحبه ادعایی است. نمونه‌های تیم پاسخ اضطراری رایانه‌ای به زبان فارسی (CERTFA) نشان داد که مهاجمان از روشی استفاده می‌کردند که در سال‌های اخیر توسط فیشرها استفاده می‌کردند و صفحات میزبان Google Sites بودند.

هنگامی که قربانی پیوند را باز می کند، ممکن است به صفحه جعلی دیگری هدایت شود که سعی می کند اعتبار ورود و کد احراز هویت دو مرحله ای خود را با استفاده از یک کیت فیشینگ ثبت کند.

خلاصه ای از عملیات جذاب بچه گربه

در سال 2015 اولین موج حملات فیشینگ توسط محققان کشف شد و عملیات جاسوسی بعدی در مقیاس گسترده از سال 2016 تا 2017 توسط محققان ClearSky کشف شد. اپراتورهای Charming Kitten از حملات جعل هویت، فیشینگ نیزه ای و هجوم در سوراخ آبی استفاده کردند.

در سال 2018 مجرمان سایبری Charming Kitten با یک وب سایت کلاهبرداری که جعل هویت پورتال این شرکت امنیتی بود، ClearSky را دنبال کردند. حملات بیشتری در آن سال علیه اهداف خاورمیانه با کمپین ایمیل جعلی و وب سایت های جعلی شناسایی شد.

در سال 2019، فعالیت های گربه جذاب (APT35) با هدف قرار دادن غیرایرانی ها در ایالات متحده، خاورمیانه و فرانسه، با هدف قرار دادن شخصیت های عمومی خارج از شیاطین دانشگاهی که در ابتدا به دنبال آنها بودند، گسترش یافت. آنها شروع به پیوست کردن یک ردیاب به مکاتبات ایمیل خود کردند تا ایمیل های ارسال شده به حساب های دیگر را دنبال کنند و قصد داشتند داده های موقعیت جغرافیایی را بدست آورند.

>>> به روز رسانی 10 مه 2020 - APT35 (گربه جذاب) درگیر کمپین هک COVID-19

مجموعه‌ای از آرشیوهای وب در دسترس عموم که توسط کارشناسان امنیت سایبری بررسی شد، نشان داد که گروه هکر ایرانی معروف به بچه گربه جذاب، در میان نام‌های دیگر، پشت یک حمله سایبری در آوریل علیه شرکت دارویی کالیفرنیایی Gilead Sciences که در تحقیقات کووید-۱۹ دخیل بود، بود.

در یکی از مواردی که محققان امنیتی با آن مواجه شدند، هکرها از یک صفحه ورود ایمیل جعلی استفاده کردند که به طور خاص برای سرقت رمزهای عبور از یکی از مدیران ارشد Gilead که در امور حقوقی و شرکتی مشارکت داشت، طراحی شده بود. این حمله در وب‌سایتی یافت شد که برای اسکن آدرس‌های وب برای فعالیت‌های مخرب استفاده می‌شود، اما محققان نتوانستند موفقیت آمیز بودن آن را تعیین کنند.
یکی از تحلیلگرانی که در مورد این حمله تحقیق کرد، اوحد زایدنبرگ از شرکت امنیت سایبری اسرائیلی ClearSky بود. او اظهار داشت که حمله آوریل علیه گیلیاد تلاشی برای به خطر انداختن حساب‌های ایمیل شرکت‌ها با پیامی بود که جعل هویت یک تحقیق روزنامه‌نگار بود. تحلیلگران دیگری که مجاز به اظهار نظر علنی نبودند، تأیید کردند که در این حمله از دامنه‌ها و سرورهایی استفاده شده است که قبلاً توسط گروه هکر ایرانی موسوم به Charming Kitten استفاده می‌شد.

گروه های هکر مستعد پرطرفدار

نمودار گروه های هکر APT پرطرفدار - منبع: Securitystack.co

هیئت دیپلماتیک ایران در سازمان ملل هرگونه دخالت در چنین حملاتی را تکذیب کرده است و علیرضا میریوسفی، سخنگوی آن، با بیان اینکه «دولت ایران وارد جنگ سایبری نمی‌شود»، افزود: «فعالیت‌های سایبری که ایران در آن شرکت می‌کند صرفاً دفاعی و برای محافظت در برابر حملات بیشتر است. زیرساخت های ایرانی."

Gilead از سیاست شرکت در بحث در مورد مسائل امنیت سایبری پیروی کرده و از اظهار نظر خودداری کرده است. این شرکت اخیراً توجه زیادی را به خود جلب کرده است، زیرا سازنده داروی ضد ویروسی رمدسیویر است که در حال حاضر تنها درمانی است که به بیماران مبتلا به COVID-19 کمک می کند. Gilead همچنین یکی از شرکت‌هایی است که تحقیقات و توسعه درمانی برای این بیماری کشنده را رهبری می‌کند و آن را به یک هدف اصلی برای تلاش‌های جمع‌آوری اطلاعات تبدیل می‌کند.

Loading...