차밍 키튼 APT

APT35 라고도 하는 Charming Kitten은 이란과의 유대가 의심되는 해커 그룹인 지능형 지속적 위협입니다. 이 그룹은 Phosphorus, Ajax Security Team 및 Newscaster Team이라는 다른 이름으로도 알려져 있습니다. Charming Kitten은 정치적 동기가 있는 캠페인을 하는 것으로 관찰되었지만 재정적 이유도 있습니다. 인권 운동가, 언론 기관, 학계를 목표로 하고 있습니다. 그들의 캠페인 대부분은 영국, 미국, 이란, 이스라엘에 대한 공격을 추진하고 있었습니다.

매력적인 고양이 캠페인

해커 그룹이 수행한 보다 광범위한 작업 중 하나는 2017년 HBO에 대해 수행되었습니다. 사이버 범죄자들은 회사 직원, 예정된 프로그램 등에 대한 개인 정보가 포함된 약 테라바이트의 데이터를 유출했습니다. APT35라고도 알려진 Charming Kitten이 수행한 다른 공격에는 미 공군 탈북자를 통한 세부 데이터에 대한 액세스 및 로그인 세부 정보를 훔치기 위해 이스라엘 사이버 보안 회사의 웹사이트를 스푸핑하는 것이 포함되었습니다. 그들을 이란에 묶은 공격은 2018년 이란에 대한 제재에 영향을 미친 정치 활동가를 겨냥한 작전이었습니다. Charming Kitten 요원은 악성 첨부 파일과 사회 공학이 포함된 피싱 이메일을 사용하여 고위 전문가로 위장했습니다.

매력적인 새끼 고양이를위한이란 각도

표적 피싱 캠페인은 APT35(Charming Kitten)가 비즈니스를 수행하는 방식의 일부였으며, 2019년 월스트리트 저널 기자를 사칭하는 것을 목표로 하는 캠페인에서 볼 수 있습니다. 그들은 그러한 접근 방식을 사용하여 종종 당시 이란 및 국제 문제를 주제로 한 인터뷰 또는 웨비나 초대를 약속하면서 피해자의 발톱을 파고들었습니다.
이러한 경우 중 하나에서 공격자는 월스트리트 저널에서 17년 동안 일한 전직 월스트리트 저널 직원인 실제 Farnaz Fassihi를 모방한 가짜 신분으로 아랍어 이메일을 작성했습니다. Charming Kitten 요원은 이 가짜 페르소나를 WSJ에서 여전히 일하고 있다고 제시했습니다.

가짜 인터뷰 요청. 출처: blog.certfa.com

이메일 내용은 다음과 같았습니다.

안녕하세요 *** ***** ******
제 이름은 파르나즈 파시히입니다. 저는 월스트리트 저널 신문의 기자입니다.
WSJ의 중동 팀은 선진국에서 성공적인 비 현지 개인을 소개하려고합니다. 연구 및 과학 철학 분야에서의 귀하의 활동으로 인해 귀하를 성공적인 이란인으로 소개하게 되었습니다. 중동 팀의 이사는 귀하와 인터뷰를 예약하고 귀하의 중요한 성과를 청중과 공유하도록 요청했습니다. 이 인터뷰는 사랑하는 나라의 젊은이들이 자신의 재능을 발견하고 성공을 향해 나아가도록 동기를 부여할 수 있습니다.
말할 필요도 없이 이번 인터뷰는 저에게 개인적으로 큰 영광이며, 인터뷰 초대를 수락해 주시길 간곡히 부탁드립니다.
질문은 내 동료 그룹에 의해 전문적으로 설계되었으며 결과 인터뷰는 WSJ의 주간 인터뷰 섹션에 게시됩니다. 인터뷰에 대한 질문과 요구 사항을 수락하는 즉시 보내 드리겠습니다.
*각주: 비현지인은 다른 나라에서 태어난 사람들을 말합니다.
당신의 친절과 관심에 감사드립니다.
파르나즈 파시히

이메일 내의 링크는 짧은 URL 형식으로, 종종 위협 행위자가 IP 주소, 브라우저 및 OS 버전 등의 데이터 수집을 목표로 합법적인 링크를 위장하는 데 사용합니다. 이는 반복적인 의사 소통으로 신뢰를 구축하고 행동할 순간을 대비함으로써 추가 공격의 길을 닦는 데 도움이 되었습니다.

시간이 지남에 따라 신뢰가 구축되면 해커는 의심되는 인터뷰 질문이 포함된 링크를 보냅니다. CERTFA(Computer Emergency Response Team in Farsi) 샘플에 따르면 공격자들은 Google 사이트에서 호스팅하는 페이지와 함께 최근 몇 년 동안 피싱 공격자들이 사용한 방법을 사용하고 있었습니다.

피해자가 링크를 열면 피싱 키트를 사용하여 로그인 자격 증명과 이중 인증 코드를 기록하려고 시도하는 다른 가짜 페이지로 리디렉션될 수 있습니다.

매력적인 새끼 고양이 작업 요약

2015년 피싱 공격의 첫 번째 물결이 연구원에 의해 발견되었으며 ClearSky의 연구원이 2016년에서 2017년 사이에 대규모 스파이 활동을 발견했습니다. Charming Kitten 운영자는 사칭, 스피어 피싱 및 워터링 홀 공격을 사용했습니다.

2018년 Charming Kitten 사이버 범죄자들은 보안 회사의 포털을 사칭하는 사기성 웹사이트로 ClearSky를 추적했습니다. 그해에는 가짜 이메일 캠페인과 가짜 웹사이트를 통해 중동 지역을 겨냥한 공격이 더 많이 확인되었습니다.

2019년 Charming Kitten(APT35) 활동은 미국, 중동, 프랑스의 이란이 아닌 사람들을 대상으로 확장되었으며, 처음에 의도했던 학계 외부의 유명 인사를 대상으로 했습니다. 그들은 지리적 위치 데이터를 얻기 위해 다른 계정으로 전달된 이메일을 추적하기 위해 이메일 서신에 트래커를 첨부하기 시작했습니다.

>>>2020년 5월 10일 업데이트 - COVID-19 해킹 캠페인에 참여하는 APT35(Charming Kitten)

사이버 보안 전문가들이 검토한 공개적으로 사용 가능한 웹 아카이브 세트에 따르면 Charming Kitten으로 알려진 이란 해킹 그룹이 COVID-19 연구에 참여하는 Gilead Sciences Inc 캘리포니아 기반 제약 회사에 대한 4월 사이버 공격의 배후에 있었습니다.

보안 연구원이 목격한 사례 중 하나에서 해커는 기업 및 법률 업무에 관여하는 Gilead 최고 경영진의 비밀번호를 훔치도록 특별히 설계된 가짜 이메일 로그인 페이지를 사용했습니다. 이 공격은 웹 주소에서 악의적인 활동을 검색하는 데 사용되는 웹사이트에서 발견되었지만 연구원들은 성공 여부를 확인할 수 없었습니다.
공격을 조사한 분석가 중 한 명은 이스라엘 사이버 보안 회사인 ClearSky의 Ohad Zaidenberg였습니다. 그는 지난 4월 길리어드에 대한 공격이 언론인 질의를 가장한 메시지로 기업 이메일 계정을 해킹하려는 시도였다고 말했다. 공개적으로 논평할 권한이 없는 다른 분석가들은 이 공격이 Charming Kitten으로 알려진 이란 해킹 그룹이 이전에 사용했던 도메인과 서버를 사용한 것으로 확인했습니다.

APT 해커 그룹 동향 차트 - 출처: Securitystack.co

유엔 주재 이란 외교사절단은 그러한 공격에 대한 어떠한 개입도 부인했으며 알리레자 미료세피 대변인은 "이란 정부는 사이버 전쟁에 참여하지 않는다"며 "이란이 하는 사이버 활동은 순전히 방어적이며 추가 공격으로부터 보호하기 위한 것"이라고 말했다. 이란 기반시설."

길리어드는 사이버 보안 문제를 논의하는 회사 정책을 따랐고 논평을 거부했다. 최근 코로나19 환자에게 유일한 치료제로 입증된 항바이러스제 렘데시비르를 제조해 주목받고 있다. 길리어드는 또한 치명적인 질병에 대한 연구 개발을 주도하는 회사 중 하나이며 정보 수집 노력의 주요 대상이 됩니다.