APT35

APT35 설명

apt35 해커 그룹 APT35(Advanced Persistent Threat)는 이란에서 발원한 것으로 추정되는 해킹 그룹입니다. 이 해킹 그룹은 Newscaster Team, Phosphorus, Charming Kitten 및 Ajax Security Team과 같은 다른 별칭으로도 알려져 있습니다. APT35 해킹 그룹은 일반적으로 정치적 동기가 있는 캠페인과 재정적 동기가 있는 캠페인 모두에 관여합니다. APT35 해킹 그룹은 주로 인권운동가, 각종 언론기관, 학계에 연루된 행위자들을 대상으로 활동을 집중하는 경향이 있다. 대부분의 캠페인은 미국, 이스라엘, 이란 및 영국에서 수행됩니다.

인기 있는 APT35 캠페인

가장 악명 높은 APT35 작업 중 하나는 2017년 HBO를 대상으로 한 작업입니다. 그 중 APT35는 아직 공식적으로 방송되지 않은 직원 개인 정보와 프로그램으로 구성된 1TB 이상의 데이터를 유출했습니다. 그들을 지도에 표시한 또 다른 악명 높은 APT35 캠페인은 미 공군 탈북자와도 관련된 캠페인입니다. 문제의 개인은 기밀 정부 데이터에 액세스하는 APT35를 도왔습니다. 2018년 APT35 그룹은 합법적인 이스라엘 사이버 보안 회사를 모방한 웹사이트를 구축했습니다. 유일한 차이점은 가짜 웹 사이트의 도메인 이름이 약간 변경되었다는 것입니다. 이 캠페인은 APT35가 회사 클라이언트 중 일부의 로그인 정보를 얻는 데 도움이 되었습니다. APT35와 관련된 최신 악명 높은 캠페인은 2018년 12월에 수행되었습니다. 이 작전에서 APT35 그룹은 Charming Kitten이라는 별칭으로 운영되었습니다. 이 작전은 당시 이란에 가해진 군사제재와 경제제재에 영향을 미친 다양한 정치활동가들을 겨냥한 것이었다. APT35 그룹은 목표와 동일한 분야에 관련된 고위 전문가로 위장했습니다. 공격자는 가짜 첨부 파일이 포함된 맞춤형 피싱 이메일과 가짜 소셜 미디어 프로필을 사용했습니다.

가짜 인터뷰 이메일을 사용한 피싱

표적 피싱 캠페인은 해커가 가짜 이메일과 사회 공학을 실행 방법으로 사용하는 Charming Kitten 방식의 일부입니다. 2019년 한 캠페인에서 Charming Kitten 그룹은 전 월스트리트 저널(WSJ) 기자로 가장하고 가짜 인터뷰 시나리오로 의도된 희생자에게 접근했습니다. 이 그룹은 일반적으로 이란 및 국제 문제를 주제로 하는 ''CNN 인터뷰'' 및 '도이체 벨레 웹 세미나 초대''와 같은 다양한 시나리오를 사용하는 것도 목격되었습니다.

한 가지 특정 사례에서 공격자는 이전에 17년 동안 Wall Street Journal에서 근무한 현재 New York Times 기자인 Farnaz Fassihi의 신원을 사용하여 아랍어로 가짜 이메일을 만들었습니다. 흥미롭게도 해커들은 Farnaz Fassihi를 그녀의 전 고용주인 Wall Street Journal에서 일하는 것으로 소개했습니다.


가짜 인터뷰 요청 이메일 - 출처: blog.certfa.com

이메일 번역:

안녕하세요 *** ***** ******
제 이름은 파르나즈 파시히입니다. 저는 월스트리트 저널 신문의 기자입니다.
WSJ의 중동 팀은 선진국에서 성공적인 비 현지 개인을 소개하려고합니다. 연구 및 과학철학 분야에서의 귀하의 활동을 통해 귀하를 성공적인 이란인으로 소개하게 되었습니다. 중동 팀의 이사는 귀하와 인터뷰를 예약하고 귀하의 중요한 성과를 청중과 공유하도록 요청했습니다. 이 인터뷰는 사랑하는 나라의 젊은이들이 자신의 재능을 발견하고 성공을 향해 나아가도록 동기를 부여할 수 있습니다.
말할 필요도 없이 이번 인터뷰는 저에게 개인적으로 큰 영광이며, 인터뷰 초대를 수락해 주시길 간곡히 부탁드립니다.
질문은 내 동료 그룹에 의해 전문적으로 설계되었으며 결과 인터뷰는 WSJ의 주간 인터뷰 섹션에 게시됩니다. 인터뷰를 수락하는 즉시 질문과 요구 사항을 보내 드리겠습니다.
*각주: 비현지인은 다른 나라에서 태어난 사람들을 말합니다.
당신의 친절과 관심에 감사드립니다.
파르나즈 파시히

이메일에 포함된 모든 링크는 단축 URL 형식으로 해커가 피해자를 합법적인 주소로 안내하는 동시에 운영 체제, 브라우저, IP 주소와 같은 기기에 대한 필수 정보를 수집하는 데 사용했습니다. 이 정보는 표적에 대한 주요 공격에 대비하여 해커로부터 필요했습니다.


Google 사이트에서 호스팅되는 가짜 WSJ 페이지 샘플 - 출처: blog.certfa.com

의도한 대상과 상대적인 신뢰를 구축한 후 해커는 인터뷰 질문이 포함된 고유 링크를 보냅니다. CERTFA(Computer Emergency Response Team in Farsi)에서 테스트한 샘플에 따르면 공격자는 Google 사이트에서 페이지를 호스팅하면서 지난 1년 동안 피싱 공격자들에게 많은 인기를 얻은 비교적 새로운 방법을 사용하고 있습니다.

피해자가 Google 사이트 페이지에서 '다운로드'' 버튼을 클릭하면 Modlishka와 같은 피싱 키트를 사용하여 이메일 주소와 이중 인증 코드에 대한 로그인 자격 증명을 수집하려고 시도하는 다른 가짜 페이지로 리디렉션됩니다.

APT35의 DownPaper 악성코드

DownPaper 도구는 백도어 트로이 목마로 주로 1단계 페이로드로 사용되며 다음과 같은 기능이 있습니다.

  • 공격자의 C&C(Command & Control) 서버와 연결을 설정하고 침투된 호스트에서 실행될 명령 및 유해한 페이로드를 수신합니다.
  • Windows 레지스트리를 변조하여 지속성을 확보하십시오.
  • 하드웨어 및 소프트웨어 데이터와 같은 손상된 시스템에 대한 정보를 수집합니다.
  • CMD 및 PowerShell 명령을 실행합니다.

APT35 해킹 그룹은 매우 끈질긴 개인 그룹으로, 조만간 활동을 중단할 계획은 없을 것입니다. 한동안 이란을 둘러싼 정치 분위기가 뜨거워지고 있다는 점을 감안할 때, 앞으로도 APT35 그룹의 캠페인 소식을 계속 듣게 될 것 같습니다.

2020년 5월 10일 업데이트 - COVID-19 해킹 캠페인에 참여하는 APT35

사이버 보안 전문가들이 검토한 공개적으로 사용 가능한 웹 아카이브 세트에 따르면 Charming Kitten으로 알려진 이란 해킹 그룹이 COVID-19 연구에 참여하는 Gilead Sciences Inc 캘리포니아 기반 제약 회사에 대한 4월 사이버 공격의 배후에 있었습니다.

보안 연구원이 목격한 사례 중 하나에서 해커는 기업 및 법률 업무에 관여하는 Gilead 최고 경영진의 암호를 도용하도록 특별히 설계된 가짜 이메일 로그인 페이지를 사용했습니다. 이 공격은 웹 주소에서 악의적인 활동을 검색하는 데 사용되는 웹사이트에서 발견되었지만 연구원들은 성공 여부를 확인할 수 없었습니다.

촉수 apt 해커 그룹
APT 해커 그룹 동향 차트 - 출처: Securitystack.co

공격을 조사한 분석가 중 한 명은 이스라엘 사이버 보안 회사인 ClearSky의 Ohad Zaidenberg였습니다. 그는 지난 4월 길리어드에 대한 공격이 언론인 질의를 가장한 메시지로 기업 이메일 계정을 손상시키려는 시도였다고 논평했다. 공개적으로 논평할 권한이 없는 다른 분석가들은 이 공격이 이전에 Charming Kitten으로 알려진 이란 해킹 그룹에서 사용했던 도메인과 서버를 사용했음을 확인했습니다.

유엔 주재 이란 외교사절단 은 그러한 공격에 대한 어떠한 개입도 부인했으며 알리레자 미료세피 대변인은 "이란 정부는 사이버 전쟁에 관여하지 않는다"며 "이란이 하는 사이버 활동은 순전히 방어적이며 추가 공격으로부터 보호하기 위한 것"이라고 덧붙였다. 이란 기반시설."

표식이란
최근 이란 사이버 캠페인의 표적이 된 국가 - 출처: Stratfor.com

길리어드는 사이버 보안 문제를 논의하는 회사 정책을 따랐고 논평을 거부했다. 최근 코로나19 환자에게 유일한 치료제로 입증된 항바이러스제 렘데시비르를 제조해 주목받고 있다. 길리어드는 또한 치명적인 질병에 대한 연구 개발을 주도하는 회사 중 하나이며 정보 수집 노력의 주요 대상이 됩니다.