APT35

L'APT35 (Advanced Persistent Threat) è un gruppo di hacker che si ritiene provenga dall'Iran. Questo gruppo di hacker è anche conosciuto con molti altri pseudonimi: Newscaster Team, Phosphorus, Charming Kitten e Ajax Security Team. Il gruppo di hacker APT35 è solitamente coinvolto sia in campagne motivate politicamente, sia in quelle motivate finanziariamente. Il gruppo di hacker APT35 tende a concentrare i propri sforzi contro gli attori coinvolti nell'attivismo per i diritti umani, varie organizzazioni dei media e principalmente il settore accademico. La maggior parte delle campagne viene svolta negli Stati Uniti, Israele, Iran e Regno Unito.

Campagne APT35 popolari

Una delle operazioni più famose dell'APT35 è quella condotta contro HBO avvenuta nel 2017. In essa, l'APT35 ha fatto trapelare oltre 1 TB di dati, che consistevano in dettagli personali del personale e spettacoli, che dovevano ancora essere trasmessi ufficialmente. Un'altra famigerata campagna APT35 che li ha messi sulla mappa è quella che ha coinvolto anche un disertore dell'aeronautica americana. L'individuo in questione ha aiutato APT35 ad ottenere l'accesso ai dati riservati del governo. Nel 2018, il gruppo APT35 ha creato un sito web che doveva imitare una legittima società di sicurezza informatica israeliana. L'unica differenza era che il sito Web falso aveva un nome di dominio leggermente modificato. Questa campagna ha aiutato l'APT35 a ottenere i dettagli di accesso di alcuni dei clienti dell'azienda. L'ultima famigerata campagna che ha coinvolto l'APT35 è stata condotta a dicembre 2018. In questa operazione, il gruppo APT35 ha operato sotto lo pseudonimo di Charming Kitten. Questa operazione ha preso di mira vari attivisti politici che hanno avuto influenza nelle sanzioni economiche, nonché nelle sanzioni militari imposte all'epoca all'Iran. Il gruppo APT35 si è presentato come professionisti di alto livello coinvolti negli stessi campi dei loro obiettivi. Gli aggressori hanno utilizzato e-mail di phishing personalizzate contenenti allegati falsi, nonché profili di social media fasulli.

Phishing con email di interviste fasulle

Campagne di phishing mirate fanno parte del modus operandi di Charming Kitten, con gli hacker che utilizzano e-mail false e social engineering come metodi di esecuzione. In una campagna del 2019, il gruppo Charming Kitten ha impersonato ex giornalisti del Wall Street Journal (WSJ) e si è avvicinato alle vittime designate con uno scenario di intervista falso. Il gruppo è stato anche individuato utilizzando diversi scenari, come "Intervista alla CNN" e "Invito a un webinar di Deutsche Welle", di solito su argomenti di affari iraniani e internazionali.

In un caso particolare, gli aggressori hanno creato una falsa e-mail in arabo, utilizzando l'identità di Farnaz Fassihi, attualmente giornalista del New York Times, che in precedenza aveva lavorato per il Wall Street Journal per 17 anni. È interessante notare che gli hacker hanno presentato Farnaz Fassihi mentre lavorava per il suo ex datore di lavoro, il Wall Street Journal.

Email di richiesta di intervista falsa - Fonte: blog.certfa.com

Traduzione e-mail:

Ciao *** ***** ******
Mi chiamo Farnaz Fasihi. Sono un giornalista del quotidiano Wall Street Journal.
Il team mediorientale del WSJ intende presentare individui non locali di successo nei paesi sviluppati. Le tue attività nei campi della ricerca e della filosofia della scienza mi hanno portato a presentarti come un iraniano di successo. Il direttore del team del Medio Oriente ci ha chiesto di fissare un'intervista con te e condividere alcuni dei tuoi importanti risultati con il nostro pubblico. Questa intervista potrebbe motivare i giovani del nostro amato Paese a scoprire i loro talenti e ad andare verso il successo.
Inutile dire che questa intervista è un grande onore per me personalmente e vi esorto ad accettare il mio invito per l'intervista.
Le domande sono progettate professionalmente da un gruppo di miei colleghi e l'intervista risultante sarà pubblicata nella sezione Weekly Interview del WSJ. Ti invierò le domande e i requisiti del colloquio non appena accetti.
*Nota a piè di pagina: non locale si riferisce a persone nate in altri paesi.
Grazie per la vostra gentilezza e attenzione.
Farnaz Fasi

Tutti i collegamenti contenuti nelle e-mail erano in formato URL abbreviato, utilizzato dagli hacker per guidare le loro vittime verso indirizzi legittimi, raccogliendo al contempo informazioni essenziali sui loro dispositivi, come sistema operativo, browser e indirizzo IP. Queste informazioni erano necessarie agli hacker in preparazione per l'attacco principale ai loro obiettivi.

Esempio di falsa pagina WSJ ospitata su Google Sites - Fonte: blog.certfa.com

Dopo aver stabilito una relativa fiducia con l'obiettivo previsto, gli hacker avrebbero inviato loro un collegamento univoco, che presumibilmente contiene le domande dell'intervista. Secondo i campioni testati dal Computer Emergency Response Team in Farsi (CERTFA), gli aggressori stanno utilizzando un metodo relativamente nuovo che ha guadagnato molta popolarità tra i phisher nell'ultimo anno, ospitando pagine su Google Sites.

Una volta che la vittima fa clic sul pulsante "Download" nella pagina del sito di Google, verrà reindirizzata a un'altra pagina falsa che tenterà di raccogliere le credenziali di accesso per il proprio indirizzo e-mail e il proprio codice di autenticazione a due fattori, utilizzando kit di phishing come Modlishka.

Il malware DownPaper di APT35

Lo strumento DownPaper è un Trojan backdoor, utilizzato principalmente come payload di prima fase e ha le capacità di:

• Stabilire una connessione con il server C&C (Command & Control) dell'attaccante e ricevere comandi e payload dannosi, che devono essere eseguiti sull'host infiltrato.
• Ottieni persistenza manomettendo il registro di Windows.
• Raccogliere informazioni sul sistema compromesso, come dati hardware e software.
• Esegui comandi CMD e PowerShell.

Il gruppo di hacker APT35 è un gruppo di individui molto persistente ed è improbabile che pianifichino di interrompere le proprie attività in tempi brevi. Tenendo presente che il clima politico intorno all'Iran si sta scaldando da un po', è probabile che continueremo a sentire parlare delle campagne del gruppo APT35 in futuro.

Aggiornamento 10 maggio 2020 - APT35 coinvolto nella campagna di hacking COVID-19

Una serie di archivi web pubblicamente disponibili esaminati da esperti di sicurezza informatica ha rivelato che il gruppo di hacker iraniano noto come Charming Kitten, tra gli altri nomi, era dietro un attacco informatico di aprile contro la società farmaceutica Gilead Sciences Inc California coinvolta nella ricerca sul COVID-19.

In uno dei casi in cui si sono imbattuti i ricercatori di sicurezza, gli hacker hanno utilizzato una pagina di accesso e-mail fasulla specificamente progettata per rubare le password da un alto dirigente Gilead, coinvolto in affari legali e aziendali. L'attacco è stato trovato su un sito Web utilizzato per scansionare gli indirizzi Web alla ricerca di attività dannose, ma i ricercatori non sono stati in grado di determinare se ha avuto successo.

Grafico di tendenza dei gruppi di hacker APT - Fonte: Securitystack.co

Uno degli analisti che ha studiato l'attacco era Ohad Zaidenberg della società di sicurezza informatica israeliana ClearSky. Ha commentato che l'attacco di aprile contro Gilead è stato uno sforzo per compromettere gli account di posta elettronica aziendali con un messaggio che impersonava un'inchiesta di un giornalista. Altri analisti, che non erano autorizzati a commentare pubblicamente, da allora hanno confermato che l'attacco utilizzava domini e server che erano stati precedentemente utilizzati dal gruppo di hacker iraniano noto come Charming Kitten.

La missione diplomatica iraniana presso le Nazioni Unite ha negato qualsiasi coinvolgimento in tali attacchi , con il portavoce Alireza Miryousefi che ha affermato che "Il governo iraniano non si impegna in guerra informatica", aggiungendo "Le attività informatiche in cui l'Iran si impegna sono puramente difensive e per proteggere da ulteriori attacchi contro Infrastrutture iraniane".

Paesi presi di mira nelle recenti campagne informatiche iraniane - Fonte: Stratfor.com

Gilead ha seguito la politica aziendale sulla discussione di questioni di sicurezza informatica e ha rifiutato di commentare. L'azienda ha ricevuto molta attenzione di recente, in quanto è il produttore del farmaco antivirale remdesivir, che attualmente è l'unico trattamento dimostrato per aiutare i pazienti infetti da COVID-19. Gilead è anche una delle aziende che guidano la ricerca e lo sviluppo di un trattamento per la malattia mortale, rendendola un obiettivo primario per gli sforzi di raccolta di informazioni.