APT Anak Kucing Menawan
Charming Kitten, juga dikenali sebagai APT35 , ialah ancaman berterusan yang maju, kumpulan penggodam yang disyaki mempunyai hubungan Iran. Kumpulan ini juga dikenali dengan nama lain: Fosforus, Pasukan Keselamatan Ajax, dan Pasukan Penyiar Berita. Charming Kitten telah diperhatikan mempunyai kempen yang bermotifkan politik, tetapi juga kempen yang didorong oleh sebab kewangan. Mereka menyasarkan aktivis hak asasi manusia, organisasi media dan sektor akademik. Majoriti kempen mereka mendesak untuk menyerang United Kingdom, Amerika Syarikat, Iran dan Israel.
Isi kandungan
Kempen Anak Kucing Menawan
Salah satu operasi yang lebih meluas yang dilakukan oleh kumpulan penggodam telah dijalankan terhadap HBO pada 2017. Penjenayah siber membocorkan kira-kira satu terabait data dengan maklumat peribadi mengenai kakitangan syarikat, rancangan akan datang dan banyak lagi. Serangan lain yang dilakukan oleh Charming Kitten, aka APT35 termasuk akses kepada data terperinci melalui pembelot Tentera Udara AS dan memalsukan tapak web syarikat keselamatan siber Israel untuk mencuri butiran log masuk. Serangan yang mengikat mereka dengan Iran adalah operasi 2018 yang ditujukan kepada aktivis politik yang mempengaruhi sekatan yang ditujukan terhadap negara itu. Koperasi Charming Kitten menggunakan e-mel pancingan data dengan lampiran berniat jahat dan kejuruteraan sosial untuk menyamar sebagai profesional berpangkat tinggi.
Sudut Iran untuk Kucing Menawan
Kempen pancingan data yang disasarkan adalah sebahagian daripada cara APT35 (Charming Kitten) menjalankan perniagaan, seperti yang dapat dilihat dengan kempen 2019 mereka yang bertujuan untuk menyamar sebagai bekas wartawan Wall Street Journal. Mereka menggunakan pendekatan itu untuk menenggelamkan cakar mereka ke dalam mangsa mereka dengan janji temu bual atau jemputan ke webinar, selalunya mengenai topik hal ehwal Iran dan antarabangsa pada masa itu.
Dalam salah satu kes ini, penyerang mengarang e-mel dalam bahasa Arab di bawah identiti palsu meniru Farnaz Fassihi, bekas pekerja Wall Street Journal yang bekerja selama 17 tahun untuk penerbitan itu. Koperasi Charming Kitten mempersembahkan persona palsu ini sebagai masih bekerja untuk WSJ.
Permintaan temuduga palsu. Sumber: blog.certfa.com
Kandungan e-mel tersebut adalah seperti berikut:
Hello *** ***** ******
Nama saya Farnaz Fasihi. Saya seorang wartawan di akhbar Wall Street Journal.
Pasukan Timur Tengah WSJ berhasrat untuk memperkenalkan individu bukan tempatan yang berjaya di negara maju. Aktiviti anda dalam bidang penyelidikan dan falsafah sains membawa saya memperkenalkan anda sebagai seorang Iran yang berjaya. Pengarah pasukan Timur Tengah meminta kami menyediakan temu bual dengan anda dan berkongsi beberapa pencapaian penting anda dengan penonton kami. Temu bual ini boleh memberi motivasi kepada belia negara tercinta untuk menerokai bakat mereka dan melangkah ke arah kejayaan.
Tidak perlu dikatakan, temu bual ini adalah penghormatan yang besar untuk saya secara peribadi, dan saya menggesa anda untuk menerima jemputan saya untuk temu duga.
Soalan-soalan tersebut direka bentuk secara profesional oleh sekumpulan rakan sekerja saya dan hasil temu bual akan diterbitkan dalam bahagian Temuduga Mingguan WSJ. Saya akan menghantar soalan dan keperluan temu duga kepada anda sebaik sahaja anda menerimanya.
*Nota kaki: Bukan tempatan merujuk kepada orang yang dilahirkan di negara lain.
Terima kasih atas kebaikan dan perhatian anda.
Farnaz Fasihi
Pautan dalam e-mel adalah dalam format URL pendek, sering digunakan oleh pelaku ancaman untuk menyamarkan pautan sah di belakangnya, menyasarkan pengumpulan data alamat IP, penyemak imbas dan versi OS dan banyak lagi. Itu membantu membuka jalan kepada serangan selanjutnya dengan membina kepercayaan dengan komunikasi berulang dan bersiap sedia untuk bertindak.
Setelah kepercayaan diwujudkan dari semasa ke semasa, penggodam menghantar pautan yang mengandungi soalan wawancara yang didakwa. Sampel Pasukan Tindak Balas Kecemasan Komputer dalam bahasa Farsi (CERTFA) menunjukkan penyerang menggunakan kaedah yang digunakan oleh pancing data dalam beberapa tahun kebelakangan ini, dengan halaman yang dihoskan Tapak Google.
Sebaik sahaja mangsa membuka pautan, mereka mungkin dialihkan ke halaman palsu lain yang cuba merekodkan kelayakan log masuk mereka dan kod pengesahan dua faktor melalui penggunaan kit pancingan data.
Ringkasan Operasi Anak Kucing Menawan
Pada tahun 2015 gelombang pertama serangan pancingan data ditemui oleh penyelidik, dengan operasi pengintipan kemudian secara besar-besaran ditemui dari 2016 hingga 2017 oleh penyelidik di ClearSky. Pengendali Charming Kitten menggunakan penyamaran, pancingan lembing dan serangan lubang air.
Pada 2018 penjenayah siber Charming Kitten mengejar ClearSky dengan laman web penipuan yang menyamar sebagai portal syarikat keselamatan. Lebih banyak serangan telah dikenal pasti pada tahun itu terhadap sasaran Timur Tengah dengan kempen e-mel palsu dan tapak web palsu.
Pada tahun 2019, aktiviti Charming Kitten (APT35) diperluas dengan menyasarkan bukan warga Iran di AS, Timur Tengah dan Perancis, dengan menyasarkan tokoh awam di luar ahli akademik yang mereka tuju pada mulanya. Mereka mula melampirkan penjejak pada surat-menyurat e-mel mereka untuk mengikuti e-mel yang dimajukan ke akaun lain, berhasrat untuk mendapatkan data geolokasi.
>>>Kemas kini 10 Mei 2020 - APT35 (Anak Kucing Menawan) Terlibat Dalam Kempen Penggodaman COVID-19
Satu set arkib web yang tersedia secara terbuka yang disemak oleh pakar keselamatan siber mendedahkan bahawa kumpulan penggodam Iran yang dikenali sebagai Charming Kitten, antara nama lain, berada di sebalik serangan siber April terhadap syarikat ubat Gilead Sciences Inc yang berpangkalan di California yang terlibat dalam penyelidikan COVID-19.
Dalam salah satu contoh yang ditemui penyelidik keselamatan, penggodam menggunakan halaman log masuk e-mel palsu yang direka khusus untuk mencuri kata laluan daripada eksekutif tertinggi Gilead, yang terlibat dalam hal ehwal korporat dan undang-undang. Serangan itu ditemui pada tapak web yang digunakan untuk mengimbas alamat web untuk aktiviti berniat jahat, tetapi penyelidik tidak dapat menentukan sama ada ia berjaya.
Salah seorang penganalisis yang meneliti serangan itu ialah Ohad Zaidenberg dari firma keselamatan siber Israel ClearSky. Beliau mengulas bahawa serangan April terhadap Gilead adalah satu usaha untuk menjejaskan akaun e-mel korporat dengan mesej yang menyamar sebagai pertanyaan wartawan. Penganalisis lain, yang tidak diberi kuasa untuk mengulas secara terbuka telah mengesahkan bahawa serangan itu menggunakan domain dan pelayan yang sebelum ini digunakan oleh kumpulan penggodam Iran yang dikenali sebagai Charming Kitten.
Carta Kumpulan Penggodam APT Arah Aliran - Sumber: Securitystack.co
Misi diplomatik Iran ke Pertubuhan Bangsa-Bangsa Bersatu telah menafikan sebarang penglibatan dalam serangan sedemikian, dengan jurucakap Alireza Miryousefi menyatakan bahawa "Kerajaan Iran tidak terlibat dalam peperangan siber," sambil menambah "Aktiviti siber yang dilakukan Iran adalah semata-mata defensif dan untuk melindungi daripada serangan selanjutnya terhadap infrastruktur Iran."
Gilead telah mengikuti dasar syarikat dalam membincangkan hal keselamatan siber dan enggan mengulas. Syarikat itu telah mendapat banyak perhatian baru-baru ini, kerana ia adalah pengeluar ubat antivirus remdesivir, yang kini merupakan satu-satunya rawatan yang terbukti dapat membantu pesakit yang dijangkiti COVID-19. Gilead juga merupakan salah satu syarikat yang mengetuai penyelidikan dan pembangunan rawatan untuk penyakit maut itu, menjadikannya sasaran utama untuk usaha pengumpulan kecerdasan.
