APT35

APT35 Beskrivelse

apt35 hacker gruppeangrep APT35 (Advanced Persistent Threat) er en hackergruppe som antas å stamme fra Iran. Denne hackergruppen er også kjent under flere andre aliaser - Newscaster Team, Phosphorus, Charming Kitten og Ajax Security Team. Hackinggruppen APT35 er vanligvis involvert i både politisk motiverte kampanjer, så vel som økonomisk motiverte. APT35-hackinggruppen har en tendens til å konsentrere sin innsats mot aktører involvert i menneskerettighetsaktivisme, ulike medieorganisasjoner og den akademiske sektoren hovedsakelig. De fleste kampanjene gjennomføres i USA, Israel, Iran og Storbritannia.

Populære APT35-kampanjer

En av de mest beryktede APT35-operasjonene er den som ble utført mot HBO som fant sted i 2017. I den lekket APT35 over 1 TB med data, som besto av personalets personlige detaljer og show, som ennå ikke skulle sendes offisielt. En annen beryktet APT35-kampanje som satte dem på kartet, er den som også involverte en avhopper fra det amerikanske luftvåpenet. Den aktuelle personen hjalp APT35 med å få tilgang til hemmeligstemplede myndighetsdata. I 2018 bygde APT35-gruppen et nettsted som var ment å etterligne et legitimt israelsk cybersikkerhetsselskap. Den eneste forskjellen var at den falske nettsiden hadde et litt endret domenenavn. Denne kampanjen hjalp APT35 med å få innloggingsdetaljene til noen av selskapets kunder. Den siste beryktede kampanjen som involverte APT35 ble gjennomført i desember 2018. I denne operasjonen opererte APT35-gruppen under aliaset Charming Kitten. Denne operasjonen var rettet mot forskjellige politiske aktivister som hadde innflytelse i de økonomiske sanksjonene, så vel som militære sanksjoner mot Iran på den tiden. APT35-gruppen poserte som høytstående fagfolk involvert i de samme feltene som deres mål. Angriperne brukte skreddersydde phishing-e-poster med falske vedlegg, samt falske sosiale medier-profiler.

Phishing med falske intervju-e-poster

Målrettede phishing-kampanjer er en del av Charming Kittens modus operandi, der hackerne bruker falske e-poster og sosial manipulering som utførelsesmetoder. I en kampanje i 2019 etterlignet Charming Kitten-gruppen tidligere Wall Street Journal (WSJ)-journalister og henvendte seg til deres tiltenkte ofre med et falskt intervjuscenario. Gruppen har også blitt oppdaget ved hjelp av forskjellige scenarier, for eksempel ''CNN-intervju'' og ''Invitasjon til et Deutsche Welle Webinar'', vanligvis rundt temaer om iranske og internasjonale anliggender.

I ett spesielt tilfelle opprettet angriperne en falsk e-post på arabisk, ved å bruke identiteten til Farnaz Fassihi, for tiden en New York Times-journalist, som tidligere hadde jobbet for The Wall Street Journal i 17 år. Interessant nok presenterte hackerne Farnaz Fassihi som arbeider for hennes tidligere arbeidsgiver, The Wall Street Journal.


Falsk e-post for intervjuforespørsel - Kilde: blog.certfa.com

E-postoversettelse:

Hallo *** ***** ******
Mitt navn er Farnaz Fasihi. Jeg er journalist i avisen Wall Street Journal.
Midtøsten-teamet til WSJ har til hensikt å introdusere vellykkede ikke-lokale individer i utviklede land. Dine aktiviteter innen forsknings- og vitenskapsfilosofi førte til at jeg introduserte deg som en vellykket iraner. Direktøren for Midtøsten-teamet ba oss sette opp et intervju med deg og dele noen av dine viktige prestasjoner med publikum. Dette intervjuet kan motivere ungdommen i vårt elskede land til å oppdage talentene deres og bevege seg mot suksess.
Unødvendig å si at dette intervjuet er en stor ære for meg personlig, og jeg oppfordrer deg til å akseptere invitasjonen min til intervjuet.
Spørsmålene er utformet profesjonelt av en gruppe av mine kolleger, og det resulterende intervjuet vil bli publisert i Ukentlig Intervju-delen av WSJ. Jeg sender deg spørsmålene og kravene til intervjuet så snart du godtar.
*Fotnote: Ikke-lokalt refererer til personer som er født i andre land.
Takk for din vennlighet og oppmerksomhet.
Farnaz Fasihi

Alle lenkene i e-postene var i forkortet URL-format, som ble brukt av hackere for å lede offeret til legitime adresser, samtidig som de samlet inn viktig informasjon om enhetene deres, som operativsystem, nettleser og IP-adresse. Denne informasjonen var nødvendig fra hackerne som forberedelse til hovedangrepet på målene deres.


Eksempel på falsk WSJ-side på Google Sites – Kilde: blog.certfa.com

Etter å ha etablert relativ tillit til det tiltenkte målet, ville hackerne sende dem en unik lenke, som angivelig inneholder intervjuspørsmålene. I følge prøver testet av Computer Emergency Response Team i Farsi (CERTFA), bruker angriperne en relativt ny metode som har vunnet mye popularitet blant phishere det siste året, og hoster sider på Google Sites.

Når offeret klikker på ''Last ned''-knappen på Google Site-siden, vil de bli omdirigert til en annen falsk side som vil forsøke å hente inn påloggingsinformasjon for e-postadressen deres og tofaktorautentiseringskoden ved hjelp av phishing-sett som Modlishka.

APT35s DownPaper Malware

DownPaper-verktøyet er en bakdørstrojaner, som for det meste brukes som nyttelast i første trinn og har mulighetene til å:

  • Etabler en forbindelse med angriperens C&C (Command & Control) server og motta kommandoer og skadelige nyttelaster, som skal utføres på den infiltrerte verten.
  • Få utholdenhet ved å tukle med Windows-registret.
  • Samle informasjon om det kompromitterte systemet, for eksempel maskinvare- og programvaredata.
  • Utfør CMD- og PowerShell-kommandoer.

APT35-hackinggruppen er en svært vedvarende gruppe individer, og det er usannsynlig at de planlegger å stoppe aktivitetene sine med det første. Med tanke på at det politiske klimaet rundt Iran har varmet opp en stund, er det sannsynlig at vi vil fortsette å høre om APT35-gruppens kampanjer i fremtiden.

Oppdatering 10. mai 2020 – APT35 involvert i COVID-19 hacking-kampanje

Et sett med offentlig tilgjengelige nettarkiver gjennomgått av cybersikkerhetseksperter avslørte at den iranske hackergruppen kjent som Charming Kitten, blant andre navn, sto bak et cyberangrep i april mot Gilead Sciences Inc California-baserte legemiddelselskap involvert i COVID-19-forskning.

I et av tilfellene som sikkerhetsforskerne kom over, brukte hackerne en falsk e-postpåloggingsside som var spesielt utviklet for å stjele passord fra en toppleder i Gilead, involvert i bedrifts- og juridiske saker. Angrepet ble funnet på et nettsted som brukes til å skanne nettadresser for ondsinnet aktivitet, men forskerne klarte ikke å fastslå om det var vellykket.

populære hackergrupper
Trending APT Hacker Groups Chart - Kilde: Securitystack.co

En av analytikerne som undersøkte angrepet var Ohad Zaidenberg fra det israelske cybersikkerhetsfirmaet ClearSky. Han kommenterte at april-angrepet mot Gilead var et forsøk på å kompromittere bedriftens e-postkontoer med en melding som etterlignet en journalisthenvendelse. Andre analytikere, som ikke var autorisert til å kommentere offentlig, har siden bekreftet at angrepet brukte domener og servere som tidligere ble brukt av den iranske hackergruppen kjent som Charming Kitten.

Irans diplomatiske oppdrag til FN har benektet enhver involvering i slike angrep , og talsmann Alireza Miryousefi uttalte at "Den iranske regjeringen engasjerer seg ikke i cyberkrigføring," og legger til "cyberaktiviteter Iran engasjerer seg i er rent defensive og for å beskytte mot ytterligere angrep på Iransk infrastruktur."

målrettede land iranske angripere
Land som er målrettet i nylige iranske cyberkampanjer – Kilde: Stratfor.com

Gilead har fulgt selskapets retningslinjer for å diskutere cybersikkerhetssaker og nektet å kommentere. Selskapet har fått mye oppmerksomhet den siste tiden, siden det er produsenten av det antivirale stoffet remdesivir, som foreløpig er den eneste behandlingen som har vist seg å hjelpe pasienter infisert med COVID-19. Gilead er også et av selskapene som leder forskning og utvikling av en behandling for den dødelige sykdommen, noe som gjør den til et hovedmål for etterretningsinnhenting.