APT35

APT35 Description

serangan kumpulan penggoda apt35 APT35 (Advanced Persistent Threat) adalah kumpulan penggodaman yang dipercayai berasal dari Iran. Kumpulan penggodaman ini juga dikenali di bawah beberapa alias lain - Pasukan Penyiar Berita, Fosforus, Kucing Menawan dan Pasukan Keselamatan Ajax. Kumpulan penggodaman APT35 biasanya terlibat dalam kempen bermotifkan politik dan juga kempen bermotifkan kewangan. Kumpulan penggodaman APT35 cenderung untuk menumpukan usaha mereka terhadap pelakon yang terlibat dalam aktivisme hak asasi manusia, pelbagai organisasi media, dan sektor akademik terutamanya. Kebanyakan kempen dijalankan di Amerika Syarikat, Israel, Iran dan United Kingdom.

Kempen APT35 Popular

Salah satu operasi APT35 yang paling terkenal ialah operasi yang dijalankan terhadap HBO yang berlaku pada tahun 2017. Di dalamnya, APT35 membocorkan lebih 1TB data, yang terdiri daripada butiran dan rancangan peribadi kakitangan, yang masih belum disiarkan secara rasmi. Satu lagi kempen APT35 terkenal yang meletakkan mereka di peta ialah kempen yang turut melibatkan pembelot Tentera Udara AS. Individu terbabit membantu APT35 mendapatkan akses kepada data kerajaan terperingkat. Pada 2018, kumpulan APT35 membina tapak web yang bertujuan meniru syarikat keselamatan siber Israel yang sah. Satu-satunya perbezaan ialah tapak web palsu itu mempunyai nama domain yang diubah sedikit. Kempen ini membantu APT35 mendapatkan butiran log masuk beberapa pelanggan syarikat. Kempen terkenal terbaru melibatkan APT35 telah dijalankan pada Disember 2018. Dalam operasi ini, kumpulan APT35 beroperasi di bawah alias Charming Kitten. Operasi ini menyasarkan pelbagai aktivis politik yang mempunyai pengaruh dalam sekatan ekonomi, serta sekatan ketenteraan yang dikenakan ke atas Iran pada masa itu. Kumpulan APT35 menyamar sebagai profesional berpangkat tinggi yang terlibat dalam bidang yang sama seperti sasaran mereka. Penyerang menggunakan e-mel pancingan data yang disesuaikan yang membawa lampiran palsu, serta profil media sosial palsu.

Phishing Dengan E-mel Temu Bual Bogus

Kempen pancingan data yang disasarkan adalah sebahagian daripada modus operandi Charming Kitten, dengan penggodam menggunakan e-mel palsu dan kejuruteraan sosial sebagai kaedah pelaksanaan. Dalam satu kempen 2019, kumpulan Charming Kitten menyamar sebagai bekas wartawan Wall Street Journal (WSJ) dan mendekati mangsa yang dimaksudkan dengan senario temu bual palsu. Kumpulan itu juga telah dikesan menggunakan senario yang berbeza, seperti ''CNN Interview'' dan ''Invitation to a Deutsche Welle Webinar'', biasanya mengenai topik hal ehwal Iran dan antarabangsa.

Dalam satu kes tertentu, penyerang mencipta e-mel palsu dalam bahasa Arab, menggunakan identiti Farnaz Fassihi, yang kini seorang wartawan New York Times, yang sebelum ini bekerja untuk The Wall Street Journal selama 17 tahun. Menariknya, penggodam menunjukkan Farnaz Fassihi bekerja untuk bekas majikannya, The Wall Street Journal.


E-mel permintaan temuduga palsu - Sumber: blog.certfa.com

Terjemahan e-mel:

Hello *** ***** ******
Nama saya Farnaz Fasihi. Saya seorang wartawan di akhbar Wall Street Journal.
Pasukan Timur Tengah WSJ berhasrat untuk memperkenalkan individu bukan tempatan yang berjaya di negara maju. Aktiviti anda dalam bidang penyelidikan dan falsafah sains membawa saya memperkenalkan anda sebagai seorang Iran yang berjaya. Pengarah pasukan Timur Tengah meminta kami menyediakan temu bual dengan anda dan berkongsi beberapa pencapaian penting anda dengan penonton kami. Temu bual ini boleh memberi motivasi kepada belia negara tercinta untuk menerokai bakat mereka dan melangkah ke arah kejayaan.
Tidak perlu dikatakan, temu bual ini adalah penghormatan yang besar untuk saya secara peribadi, dan saya menggesa anda untuk menerima jemputan saya untuk temu duga.
Soalan-soalan tersebut direka bentuk secara profesional oleh sekumpulan rakan sekerja saya dan hasil temu bual akan diterbitkan dalam bahagian Temuduga Mingguan WSJ. Saya akan menghantar soalan dan keperluan temu duga kepada anda sebaik sahaja anda menerimanya.
*Nota kaki: Bukan tempatan merujuk kepada orang yang dilahirkan di negara lain.
Terima kasih atas kebaikan dan perhatian anda.
Farnaz Fasihi

Semua pautan yang terkandung dalam e-mel adalah dalam format URL yang dipendekkan, yang digunakan oleh penggodam untuk membimbing mangsa mereka ke alamat yang sah, sambil mengumpul maklumat penting tentang peranti mereka, seperti sistem pengendalian, penyemak imbas dan alamat IP. Maklumat ini diperlukan daripada penggodam sebagai persediaan untuk serangan utama ke atas sasaran mereka.


Contoh halaman WSJ palsu yang dihoskan di Tapak Google - Sumber: blog.certfa.com

Selepas mewujudkan kepercayaan relatif dengan sasaran yang dimaksudkan, penggodam akan menghantar pautan unik kepada mereka, yang didakwa mengandungi soalan temu bual. Menurut sampel yang diuji oleh Pasukan Tindak Balas Kecemasan Komputer dalam bahasa Farsi (CERTFA), penyerang menggunakan kaedah yang agak baharu yang telah mendapat banyak populariti dengan pancing data sepanjang tahun lalu, mengehos halaman di Tapak Google.

Sebaik sahaja mangsa mengklik butang ''Muat Turun'' pada halaman Tapak Google, mereka akan dialihkan ke halaman palsu lain yang akan cuba mendapatkan bukti kelayakan log masuk untuk alamat e-mel mereka dan kod pengesahan dua faktor mereka, menggunakan kit pancingan data seperti Modlishka.

Perisian Hasad DownPaper APT35

Alat DownPaper ialah Trojan pintu belakang, yang kebanyakannya digunakan sebagai muatan peringkat pertama dan mempunyai keupayaan untuk:

  • Wujudkan sambungan dengan pelayan C&C (Perintah & Kawalan) penyerang dan terima arahan dan muatan berbahaya, yang akan dilaksanakan pada hos yang menyusup.
  • Dapatkan kegigihan dengan mengganggu Windows Registry.
  • Kumpulkan maklumat tentang sistem yang terjejas, seperti data perkakasan dan perisian.
  • Laksanakan arahan CMD dan PowerShell.

Kumpulan penggodaman APT35 ialah kumpulan individu yang sangat gigih, dan tidak mungkin mereka merancang untuk menghentikan aktiviti mereka dalam masa terdekat. Mengingati bahawa iklim politik di sekitar Iran telah memanas seketika, kemungkinan besar kita akan terus mendengar tentang kempen kumpulan APT35 pada masa hadapan.

Kemas kini 10 Mei 2020 - APT35 Terlibat Dalam Kempen Penggodaman COVID-19

Satu set arkib web yang tersedia secara terbuka yang disemak oleh pakar keselamatan siber mendedahkan bahawa kumpulan penggodam Iran yang dikenali sebagai Charming Kitten, antara nama lain, berada di sebalik serangan siber April terhadap syarikat ubat Gilead Sciences Inc yang berpangkalan di California yang terlibat dalam penyelidikan COVID-19.

Dalam salah satu contoh yang ditemui penyelidik keselamatan, penggodam menggunakan halaman log masuk e-mel palsu yang direka khusus untuk mencuri kata laluan daripada eksekutif tertinggi Gilead, yang terlibat dalam hal ehwal korporat dan undang-undang. Serangan itu ditemui pada tapak web yang digunakan untuk mengimbas alamat web untuk aktiviti berniat jahat, tetapi penyelidik tidak dapat menentukan sama ada ia berjaya.

kumpulan penggodam apt trending
Carta Kumpulan Penggodam APT Arah Aliran - Sumber: Securitystack.co

Salah seorang penganalisis yang meneliti serangan itu ialah Ohad Zaidenberg dari firma keselamatan siber Israel ClearSky. Beliau mengulas bahawa serangan April terhadap Gilead adalah satu usaha untuk menjejaskan akaun e-mel korporat dengan mesej yang menyamar sebagai pertanyaan wartawan. Penganalisis lain, yang tidak diberi kuasa untuk mengulas secara terbuka telah mengesahkan bahawa serangan itu menggunakan domain dan pelayan yang sebelum ini digunakan oleh kumpulan penggodam Iran yang dikenali sebagai Charming Kitten.

Misi diplomatik Iran ke Pertubuhan Bangsa-Bangsa Bersatu telah menafikan sebarang penglibatan dalam serangan sedemikian , dengan jurucakap Alireza Miryousefi menyatakan bahawa "Kerajaan Iran tidak terlibat dalam peperangan siber," sambil menambah "Aktiviti siber yang dilakukan Iran adalah semata-mata pertahanan dan untuk melindungi daripada serangan selanjutnya terhadap infrastruktur Iran."

negara sasaran penyerang iran
Negara yang Disasarkan dalam Kempen Siber Iran Terkini - Sumber: Stratfor.com

Gilead telah mengikuti dasar syarikat dalam membincangkan hal keselamatan siber dan enggan mengulas. Syarikat itu telah menerima banyak perhatian baru-baru ini, kerana ia adalah pengeluar ubat antivirus remdesivir, yang kini merupakan satu-satunya rawatan yang terbukti membantu pesakit yang dijangkiti COVID-19. Gilead juga merupakan salah satu syarikat yang mengetuai penyelidikan dan pembangunan rawatan untuk penyakit maut itu, menjadikannya sasaran utama untuk usaha pengumpulan kecerdasan.