APT35

APT35 Leírás

apt35 hacker csoportos támadások Az APT35 (Advanced Persistent Threat) egy hackercsoport, amelyről feltételezik, hogy Iránból származik. Ez a hackercsoport számos más álnéven is ismert – Newscaster Team, Phosphorus, Charming Kitten és Ajax Security Team. Az APT35 hackercsoport általában politikailag és pénzügyileg motivált kampányokban is részt vesz. Az APT35 hackercsoport elsősorban az emberi jogi aktivizmusban részt vevő szereplők, a különböző médiaszervezetek és a tudományos szektor ellen összpontosítja erőfeszítéseit. A legtöbb kampányt az Egyesült Államokban, Izraelben, Iránban és az Egyesült Királyságban hajtják végre.

Népszerű APT35 kampányok

Az egyik leghírhedtebb APT35-művelet az HBO ellen 2017-ben végrehajtott művelet. Ebben az APT35 több mint 1 TB adatot szivárgott ki, amely a személyzet személyes adataiból és műsorokból állt, és amelyeket még hivatalosan sugároztak. Egy másik hírhedt APT35 kampány, amely felvette őket a térképre, az, amelyben az Egyesült Államok légierejének egy disszidálója is részt vett. A szóban forgó személy segített az APT35-nek, hogy hozzáférjen a minősített kormányzati adatokhoz. 2018-ban az APT35 csoport olyan weboldalt épített fel, amely egy legitim izraeli kiberbiztonsági céget volt hivatott utánozni. Az egyetlen különbség az volt, hogy a hamis webhelyen kissé módosított domain név volt. Ez a kampány segített az APT35-nek megszerezni a vállalat egyes ügyfeleinek bejelentkezési adatait. A legutóbbi, hírhedt kampányt az APT35-tel 2018 decemberében hajtották végre. Ebben a műveletben az APT35 csoport Charming Kitten álnéven működött. Ez a művelet különféle politikai aktivisták ellen irányult, akik befolyással voltak a gazdasági szankciókban, valamint az Irán elleni katonai szankciókban akkoriban. Az APT35 csoport magas rangú szakembereknek adta ki magát, akik ugyanazokon a területeken dolgoznak, mint a célpontjaik. A támadók személyre szabott, hamis mellékleteket tartalmazó adathalász e-maileket, valamint hamis közösségi médiaprofilokat használtak.

Adathalászat hamis interjú e-mailekkel

A célzott adathalász kampányok a Charming Kitten működési módjának részét képezik, a hackerek hamis e-maileket és közösségi manipulációt használnak végrehajtási módszerként. Az egyik 2019-es kampányban a Charming Kitten csoport a Wall Street Journal (WSJ) egykori újságíróinak adta ki magát, és egy hamis interjú forgatókönyvével fordult áldozataikhoz. A csoportot különféle forgatókönyvek, például a „CNN-interjú” és a „Meghívás a Deutsche Welle Webinar”-ra is felfigyelték, általában iráni és nemzetközi ügyek témái körül.

Egy konkrét esetben a támadók hamis e-mailt hoztak létre arabul, Farnaz Fassihi személyazonosságát használva, aki jelenleg a New York Times újságírója, aki korábban 17 évig dolgozott a The Wall Street Journalnál. Érdekes módon a hackerek bemutatták Farnaz Fassihit, mint egykori munkaadójának, a The Wall Street Journalnak.


Hamis interjúkérés e-mail - Forrás: blog.certfa.com

E-mail fordítás:

Helló *** ***** ******
A nevem Farnaz Fasihi. Újságíró vagyok a Wall Street Journal újságnál.
A WSJ közel-keleti csapata sikeres, nem helyi egyéneket kíván bemutatni a fejlett országokban. A kutatás és a tudományfilozófia területén végzett tevékenysége késztetett arra, hogy sikeres irániként mutassam be Önt. A Közel-Kelet csapatának igazgatója arra kért minket, hogy készítsünk egy interjút önnel, és osszuk meg néhány fontos eredményeit közönségünkkel. Ez az interjú arra ösztönözheti szeretett hazánk fiataljait, hogy felfedezzék tehetségüket és haladjanak a siker felé.
Mondanom sem kell, hogy ez az interjú nagy megtiszteltetés számomra, és arra kérem Önt, hogy fogadja el meghívásomat az interjúra.
A kérdéseket kollégáim egy csoportja professzionálisan tervezi meg, az így elkészült interjút a WSJ Heti Interjú rovatában tesszük közzé. Amint elfogadja, elküldöm Önnek az interjú kérdéseit és követelményeit.
*Lábjegyzet: A nem helyi olyan személyekre vonatkozik, akik más országokban születtek.
Köszönöm kedvességét és figyelmességét.
Farnaz Fasihi

Az e-mailekben található linkek mindegyike rövidített URL formátumú volt, amelyet a hackerek arra használtak, hogy jogos címekre tereljék áldozataikat, miközben alapvető információkat gyűjtöttek eszközeikről, például operációs rendszerről, böngészőről és IP-címről. Erre az információra volt szükség a hackerektől, hogy felkészüljenek a célpontjaik elleni fő támadásra.


Példa a Google Webhelyeken tárolt hamis WSJ-oldalra – Forrás: blog.certfa.com

Miután megteremtették a relatív bizalmat a célponttal, a hackerek egy egyedi linket küldenek nekik, amely állítólag tartalmazza az interjú kérdéseit. A Computer Emergency Response Team in Farsi (CERTFA) által tesztelt minták szerint a támadók egy viszonylag új módszert alkalmaznak, amely az elmúlt évben nagy népszerűségre tett szert az adathalászok körében, és oldalakat tárolnak a Google Sites-en.

Miután az áldozat rákattint a „Letöltés” gombra a Google webhely oldalán, egy másik hamis oldalra kerül, amely megpróbálja begyűjteni az e-mail-címéhez és a kéttényezős hitelesítési kódjához tartozó bejelentkezési adatokat olyan adathalász készletekkel, mint a Modlishka.

Az APT35 DownPaper kártevője

A DownPaper eszköz egy hátsó ajtós trójai, amelyet többnyire első szintű rakományként használnak, és a következő képességekkel rendelkezik:

  • Hozzon létre kapcsolatot a támadó C&C (Command & Control) kiszolgálójával, és fogadja a parancsokat és a káros rakományokat, amelyeket a beszivárgott gazdagépen kell végrehajtani.
  • Növelje a kitartást a Windows beállításjegyzékének manipulálásával.
  • Gyűjtsön információkat a feltört rendszerről, például hardver- és szoftveradatokat.
  • CMD és PowerShell parancsok végrehajtása.

Az APT35 hackercsoport egyének egy nagyon kitartó csoportja, és nem valószínű, hogy egyhamar leállítják tevékenységüket. Szem előtt tartva, hogy a politikai légkör Irán körül egy ideje felforrósodott, valószínű, hogy a jövőben is hallani fogunk az APT35 csoport kampányairól.

Frissítés, 2020. május 10. – Az APT35 részt vett a COVID-19 hackelési kampányában

A kiberbiztonsági szakértők által átvizsgált nyilvánosan elérhető webarchívumok felfedték, hogy többek között a Charming Kitten néven ismert iráni hackercsoport áll a COVID-19-kutatásban részt vevő Gilead Sciences Inc kaliforniai székhelyű gyógyszercég elleni áprilisi kibertámadás mögött.

Az egyik esetben, amikor a biztonsági kutatók találkoztak, a hackerek egy hamis e-mail-bejelentkezési oldalt használtak, amelyet kifejezetten arra terveztek, hogy jelszavakat lopjanak a Gilead vezetőitől, akik vállalati és jogi ügyekben érintettek. A támadást egy olyan webhelyen találták, amely a webcímek rosszindulatú tevékenységét keresi, de a kutatók nem tudták megállapítani, hogy sikeres volt-e.

felkapott hackercsoportok
Felkapott APT hackercsoportok diagramja – Forrás: Securitystack.co

A támadást kutató elemzők egyike Ohad Zaidenberg volt, az izraeli ClearSky kiberbiztonsági cégtől. Megjegyezte, hogy a Gileád elleni áprilisi támadás célja a vállalati e-mail fiókok kompromittálása volt egy újságírói kérdésnek kiadó üzenettel. Más elemzők, akik nem jogosultak nyilvánosan kommentálni, azóta megerősítették, hogy a támadás olyan domaineket és szervereket használt, amelyeket korábban a Charming Kitten néven ismert iráni hackercsoport használt.

Irán diplomáciai képviselete az Egyesült Nemzetek Szervezeténél tagadta, hogy részt vett volna az ilyen támadásokban , Alireza Miryousefi szóvivője pedig kijelentette, hogy "Az iráni kormány nem vesz részt kiberhadviselésben", hozzátette: "Irán kibertevékenységei pusztán védekező jellegűek, és megvédik a további támadásoktól. iráni infrastruktúra."

országok iráni támadóit célozta meg
A legutóbbi iráni kiberkampányokban megcélzott országok – Forrás: Stratfor.com

A Gilead követte a vállalat politikáját a kiberbiztonsági kérdések megvitatása során, és nem volt hajlandó kommentálni. A cég az utóbbi időben nagy figyelmet kapott, hiszen ő a remdesivir vírusellenes gyógyszer gyártója, amely jelenleg az egyetlen kezelés bizonyítottan segít a COVID-19 fertőzött betegeken. A Gilead ezenkívül egyike a halálos betegség kezelésének kutatásában és fejlesztésében vezető vállalatoknak, így az információgyűjtési erőfeszítések elsődleges célpontja.