आकर्षक बिल्ली का बच्चा APT

आकर्षक बिल्ली का बच्चा APT

आकर्षक बिल्ली का बच्चा, जिसे APT35 के नाम से भी जाना जाता है, एक उन्नत लगातार खतरा है, एक हैकर समूह संदिग्ध ईरानी संबंधों के साथ। समूह को अन्य नामों से भी जाना जाता है: फॉस्फोरस, अजाक्स सुरक्षा टीम और न्यूज़कास्टर टीम। आकर्षक बिल्ली के बच्चे को राजनीतिक रूप से प्रेरित अभियानों के लिए देखा गया है, लेकिन वित्तीय कारणों से प्रेरित भी। वे मानवाधिकार कार्यकर्ताओं, मीडिया संगठनों और शैक्षणिक क्षेत्र के लिए लक्ष्य बना रहे हैं। उनके अधिकांश अभियान यूनाइटेड किंगडम, संयुक्त राज्य अमेरिका, ईरान और इज़राइल पर हमलों पर जोर दे रहे थे।

आकर्षक बिल्ली का बच्चा अभियान

हैकर समूह द्वारा किए गए अधिक व्यापक कार्यों में से एक 2017 में एचबीओ के खिलाफ किया गया था। साइबर अपराधियों ने कंपनी के कर्मचारियों, आगामी शो और अन्य पर व्यक्तिगत जानकारी के साथ एक टेराबाइट डेटा लीक किया। चार्मिंग किटन, उर्फ एपीटी 35 द्वारा किए गए अन्य हमलों में अमेरिकी वायु सेना के रक्षक के माध्यम से विस्तृत डेटा तक पहुंच और लॉगिन विवरण चोरी करने के लिए एक इज़राइली साइबर सुरक्षा कंपनी की वेबसाइट को धोखा देना शामिल था। जिस हमले ने उन्हें ईरान से बांधा, वह राजनीतिक कार्यकर्ताओं के उद्देश्य से 2018 का एक ऑपरेशन था जिसने देश के खिलाफ प्रतिबंधों को प्रभावित किया। आकर्षक बिल्ली के बच्चे के गुर्गों ने उच्च रैंकिंग वाले पेशेवरों के रूप में पोज देने के लिए दुर्भावनापूर्ण अनुलग्नकों और सोशल इंजीनियरिंग के साथ फ़िशिंग ईमेल का उपयोग किया।

आकर्षक बिल्ली के बच्चे के लिए ईरानी कोण

लक्षित फ़िशिंग अभियान APT35 (आकर्षक बिल्ली का बच्चा) व्यवसाय करने के तरीके का हिस्सा थे, जैसा कि उनके 2019 के अभियान के साथ देखा जा सकता है जिसका उद्देश्य वॉल स्ट्रीट जर्नल के पूर्व पत्रकारों का प्रतिरूपण करना था। वे उस समय ईरानी और अंतर्राष्ट्रीय मामलों के विषयों पर साक्षात्कार या वेबिनार के निमंत्रण के वादे के साथ अपने पंजे को अपने शिकार में डुबोने के लिए उस दृष्टिकोण का इस्तेमाल करते थे।
इन मामलों में से एक में, हमलावरों ने फर्जी पहचान के तहत अरबी में एक ईमेल बनाया, जिसमें वास्तविक जीवन के फ़र्नाज़ फ़स्सी की नकल की गई, जो वॉल स्ट्रीट जर्नल के पूर्व कर्मचारी थे और प्रकाशन के लिए 17 साल से काम कर रहे थे। आकर्षक बिल्ली के बच्चे के गुर्गों ने इस नकली व्यक्तित्व को अभी भी WSJ के लिए काम कर रहे के रूप में प्रस्तुत किया।

नकली साक्षात्कार अनुरोध। स्रोत: blog.certfa.com

ईमेल की सामग्री इस प्रकार थी:

नमस्ते *** ***** ******
मेरा नाम फरनाज फासिही है। मैं वॉल स्ट्रीट जर्नल अखबार में पत्रकार हूं।
डब्ल्यूएसजे की मध्य पूर्व टीम विकसित देशों में सफल गैर-स्थानीय व्यक्तियों को पेश करने का इरादा रखती है। अनुसंधान और विज्ञान के दर्शन के क्षेत्र में आपकी गतिविधियों ने मुझे एक सफल ईरानी के रूप में आपका परिचय कराने के लिए प्रेरित किया। मध्य पूर्व टीम के निदेशक ने हमें आपके साथ एक साक्षात्कार स्थापित करने और अपनी कुछ महत्वपूर्ण उपलब्धियों को हमारे दर्शकों के साथ साझा करने के लिए कहा। यह साक्षात्कार हमारे प्यारे देश के युवाओं को अपनी प्रतिभा खोजने और सफलता की ओर बढ़ने के लिए प्रेरित कर सकता है।
कहने की जरूरत नहीं है, यह साक्षात्कार मेरे लिए व्यक्तिगत रूप से एक बड़ा सम्मान है, और मैं आपसे साक्षात्कार के लिए मेरा निमंत्रण स्वीकार करने का आग्रह करता हूं।
प्रश्न मेरे सहयोगियों के एक समूह द्वारा पेशेवर रूप से तैयार किए गए हैं और परिणामी साक्षात्कार डब्ल्यूएसजे के साप्ताहिक साक्षात्कार खंड में प्रकाशित किया जाएगा। जैसे ही आप स्वीकार करेंगे, मैं आपको साक्षात्कार के प्रश्न और आवश्यकताएं भेजूंगा।
*फुटनोट: गैर-स्थानीय उन लोगों को संदर्भित करता है जो दूसरे देशों में पैदा हुए थे।
आपकी दया और ध्यान के लिए धन्यवाद।
फरनाज़ फासीह

ईमेल के भीतर के लिंक एक छोटे URL प्रारूप में थे, जिनका उपयोग अक्सर धमकी देने वाले अभिनेताओं द्वारा उनके पीछे वैध लिंक को छिपाने के लिए किया जाता था, जिसका उद्देश्य आईपी पते, ब्राउज़र और ओएस संस्करणों और अधिक का डेटा संग्रह करना था। इसने बार-बार संचार के साथ विश्वास बनाने और कार्य करने के लिए तैयारी करके आगे के हमलों का मार्ग प्रशस्त करने में मदद की।

समय के साथ विश्वास स्थापित होने के बाद, हैकर्स एक लिंक भेज देते हैं जिसमें कथित साक्षात्कार प्रश्न होते हैं। कंप्यूटर इमरजेंसी रिस्पांस टीम इन फ़ारसी (सीईआरटीएफए) के नमूनों ने दिखाया कि हमलावर हाल के वर्षों में Google साइट्स द्वारा होस्ट किए गए पृष्ठों के साथ फ़िशर द्वारा उपयोग की जाने वाली विधि का उपयोग कर रहे थे।

एक बार जब पीड़ित लिंक खोलता है, तो उन्हें एक अन्य नकली पृष्ठ पर पुनर्निर्देशित किया जा सकता है जो फ़िशिंग किट के उपयोग के माध्यम से उनके लॉगिन क्रेडेंशियल और दो-कारक प्रमाणीकरण कोड को रिकॉर्ड करने का प्रयास करता है।

आकर्षक बिल्ली का बच्चा संचालन का सारांश

2015 में शोधकर्ताओं द्वारा फ़िशिंग हमलों की पहली लहर की खोज की गई थी, बाद में क्लीयरस्काई के शोधकर्ताओं द्वारा 2016 से 2017 तक बड़े पैमाने पर जासूसी के संचालन की खोज की गई थी। आकर्षक बिल्ली के बच्चे के संचालकों ने प्रतिरूपण, भाला-फ़िशिंग और वाटरिंग होल हमलों का इस्तेमाल किया।

2018 में चार्मिंग किटन साइबर क्रिमिनल्स एक फर्जी वेबसाइट के साथ ClearSky के पीछे चले गए, जो सुरक्षा कंपनी के पोर्टल का प्रतिरूपण कर रहा था। उस वर्ष नकली ईमेल अभियान और नकली वेबसाइटों के साथ मध्य पूर्वी लक्ष्यों के खिलाफ अधिक हमलों की पहचान की गई थी।

2019 में चार्मिंग किटन (APT35) गतिविधियों का विस्तार अमेरिका, मध्य पूर्व और फ्रांस में गैर-ईरानियों को लक्षित करके किया गया, जिसमें वे अकादमिक फ़ाइंड्स के बाहर सार्वजनिक आंकड़ों को लक्षित कर रहे थे, जिसके लिए वे शुरुआत में जा रहे थे। उन्होंने भौगोलिक स्थान डेटा प्राप्त करने के इरादे से अन्य खातों को अग्रेषित ईमेल का पालन करने के लिए अपने ईमेल पत्राचार में एक ट्रैकर संलग्न करना शुरू कर दिया।

>>>अद्यतन 10 मई, 2020 - APT35 (आकर्षक बिल्ली का बच्चा) COVID-19 हैकिंग अभियान में शामिल

साइबर सुरक्षा विशेषज्ञों द्वारा समीक्षा किए गए सार्वजनिक रूप से उपलब्ध वेब अभिलेखागार के एक सेट से पता चला है कि ईरानी हैकिंग समूह, जिसे अन्य नामों के साथ, चार्मिंग किटन के नाम से जाना जाता है, अप्रैल में गिलियड साइंसेज इंक कैलिफोर्निया स्थित दवा कंपनी के खिलाफ COVID-19 अनुसंधान में शामिल साइबर हमले के पीछे था।

सुरक्षा शोधकर्ताओं के सामने आने वाले उदाहरणों में से एक में, हैकर्स ने एक फर्जी ईमेल लॉगिन पृष्ठ का उपयोग किया, जिसे विशेष रूप से कॉर्पोरेट और कानूनी मामलों में शामिल एक शीर्ष गिलियड कार्यकारी से पासवर्ड चोरी करने के लिए डिज़ाइन किया गया था। हमला एक ऐसी वेबसाइट पर पाया गया जिसका उपयोग दुर्भावनापूर्ण गतिविधि के लिए वेब पते को स्कैन करने के लिए किया जाता है, लेकिन शोधकर्ता यह निर्धारित करने में सक्षम नहीं थे कि यह सफल था या नहीं।
हमले पर शोध करने वाले विश्लेषकों में से एक इजरायली साइबर सुरक्षा फर्म ClearSky के ओहद ज़ैदेनबर्ग थे। उन्होंने टिप्पणी की कि गिलियड के खिलाफ अप्रैल का हमला एक संदेश के साथ कॉर्पोरेट ईमेल खातों से समझौता करने का एक प्रयास था जो एक पत्रकार पूछताछ का प्रतिरूपण करता था। अन्य विश्लेषकों, जो सार्वजनिक रूप से टिप्पणी करने के लिए अधिकृत नहीं थे, ने पुष्टि की है कि हमले में उन डोमेन और सर्वर का इस्तेमाल किया गया था जो पहले ईरानी हैकिंग समूह द्वारा उपयोग किए गए थे जिन्हें चार्मिंग किटन के नाम से जाना जाता था।

अनुरूपीकरण

ट्रेंडिंग एपीटी हैकर समूह चार्ट - स्रोत: Securitystack.co

संयुक्त राष्ट्र में ईरान के राजनयिक मिशन ने इस तरह के हमलों में किसी भी तरह की संलिप्तता से इनकार किया है, प्रवक्ता अलीरेज़ा मिरयूसेफ़ी ने कहा कि "ईरानी सरकार साइबर युद्ध में शामिल नहीं है," "साइबर गतिविधियों में ईरान संलग्न है, विशुद्ध रूप से रक्षात्मक है और आगे के हमलों से बचाने के लिए है। ईरानी बुनियादी ढांचा।"

गिलियड ने साइबर सुरक्षा मामलों पर चर्चा करने के लिए कंपनी की नीति का पालन किया है और टिप्पणी करने से इनकार कर दिया है। कंपनी ने हाल ही में बहुत ध्यान आकर्षित किया है, क्योंकि यह एंटीवायरल ड्रग रेमेडिसविर का निर्माता है, जो वर्तमान में एकमात्र उपचार है जो COVID-19 से संक्रमित रोगियों की मदद करने के लिए सिद्ध हुआ है। गिलियड भी उन कंपनियों में से एक है जो घातक बीमारी के इलाज के लिए अनुसंधान और विकास का नेतृत्व कर रही है, जो इसे खुफिया जानकारी एकत्र करने के प्रयासों का एक प्रमुख लक्ष्य बनाती है।

Trending

Loading...