Sjarmerende kattunge APT

Sjarmerende kattunge APT

Charming Kitten, også kjent som APT35 , er en avansert vedvarende trussel, en hackergruppe med mistenkte iranske bånd. Gruppen er også kjent under andre navn: Phosphorus, Ajax Security Team og Newscaster Team. Charming Kitten har blitt observert å ha politisk motiverte kampanjer, men også de som er motivert av økonomiske årsaker. De sikter mot menneskerettighetsaktivister, medieorganisasjoner og den akademiske sektoren. De fleste av kampanjene deres presset på for angrep på Storbritannia, USA, Iran og Israel.

Sjarmerende kattunge-kampanjer

En av de mer ekspansive operasjonene som ble utført av hackergruppen ble utført mot HBO i 2017. Nettkriminelle lekket om en terabyte med data med personlig informasjon om selskapets ansatte, kommende show og mer. Andre angrep iscenesatt av Charming Kitten, også kjent som APT35, inkluderte tilgang til detaljerte data gjennom en avhopper fra det amerikanske luftforsvaret og forfalskning av nettsiden til et israelsk cybersikkerhetsselskap for å stjele innloggingsdetaljer. Angrepet som knyttet dem til Iran var en operasjon i 2018 rettet mot politiske aktivister som påvirket sanksjonene rettet mot landet. Sjarmerende kattunge-operatører brukte phishing-e-poster med ondsinnede vedlegg og sosial teknikk for å posere som høyt rangerte fagfolk.

Den iranske vinkelen for sjarmerende kattunge

Målrettede phishing-kampanjer var en del av måten APT35 (Charming Kitten) gjør forretninger på, som man kunne se med deres 2019-kampanje som hadde som mål å etterligne tidligere Wall Street Journal-journalister. De brukte den tilnærmingen til å sette klørne i ofrene sine med løftet om intervjuer eller invitasjoner til webinarer, ofte om iranske og internasjonale anliggender på den tiden.
I ett av disse tilfellene skrev angriperne en e-post på arabisk under den falske identiteten som imiterte den virkelige Farnaz Fassihi, en tidligere Wall Street Journal-ansatt som har jobbet 17 år for publikasjonen. The Charming Kitten-operatørene presenterte denne falske personaen som fortsatt jobber for WSJ.

Falsk intervjuforespørsel. Kilde: blog.certfa.com

E-postens innhold var som følger:

Hallo *** ***** ******
Mitt navn er Farnaz Fasihi. Jeg er journalist i avisen Wall Street Journal.
Midtøsten-teamet til WSJ har til hensikt å introdusere vellykkede ikke-lokale individer i utviklede land. Dine aktiviteter innen forsknings- og vitenskapsfilosofi førte til at jeg introduserte deg som en vellykket iraner. Direktøren for Midtøsten-teamet ba oss sette opp et intervju med deg og dele noen av dine viktige prestasjoner med publikum. Dette intervjuet kan motivere ungdommen i vårt elskede land til å oppdage talentene deres og bevege seg mot suksess.
Unødvendig å si at dette intervjuet er en stor ære for meg personlig, og jeg oppfordrer deg til å akseptere invitasjonen min til intervjuet.
Spørsmålene er utformet profesjonelt av en gruppe av mine kolleger, og det resulterende intervjuet vil bli publisert i Ukentlig Intervju-delen av WSJ. Jeg vil sende deg spørsmålene og kravene til intervjuet så snart du godtar.
*Fotnote: Ikke-lokalt refererer til personer som er født i andre land.
Takk for din vennlighet og oppmerksomhet.
Farnaz Fasihi

Linkene i e-postene var i et kort URL-format, ofte brukt av trusselaktører for å skjule legitime lenker bak dem, med sikte på datainnsamling av IP-adresser, nettleser- og OS-versjoner og mer. Det bidro til å bane vei for ytterligere angrep ved å bygge tillit med gjentatt kommunikasjon og forberede øyeblikket for å handle.

Når tillit er etablert over tid, sender hackerne en lenke som inneholder de påståtte intervjuspørsmålene. Eksempler fra Computer Emergency Response Team i Farsi (CERTFA) viste at angriperne brukte en metode som ble brukt av phishere de siste årene, med sider som er vert for Google Sites.

Når offeret åpner lenken, kan de bli omdirigert til en annen falsk side som forsøker å registrere påloggingsinformasjonen og tofaktorautentiseringskoden gjennom bruk av et phishing-sett.

Sammendrag av sjarmerende kattungeoperasjoner

I 2015 ble den første bølgen av phishing-angrep oppdaget av forskere, med senere spionasjeoperasjoner i massiv skala som ble oppdaget fra 2016 til 2017 av forskere ved ClearSky. Charming Kitten-operatørene brukte etterligning, spyd-phishing og vannhullsangrep.

I 2018 gikk nettkriminelle fra Charming Kitten etter ClearSky med et uredelig nettsted som utgir seg for å være sikkerhetsselskapets portal. Flere angrep ble identifisert det året mot Midtøsten-mål med en falsk e-postkampanje og falske nettsider.

I 2019 utvidet aktivitetene til Charming Kitten (APT35) ved å målrette mot ikke-iranere i USA, Midt-Østen og Frankrike, med målretting mot offentlige personer utenfor de akademiske fandene de først gikk for. De begynte å legge ved en tracker til e-postkorrespondansen deres for å følge e-poster videresendt til andre kontoer, med hensikt å innhente geolokaliseringsdata.

>>>Oppdatering 10. mai 2020 – APT35 (sjarmerende kattunge) involvert i COVID-19 hackingkampanje

Et sett med offentlig tilgjengelige nettarkiver gjennomgått av cybersikkerhetseksperter avslørte at den iranske hackergruppen kjent som Charming Kitten, blant andre navn, sto bak et cyberangrep i april mot Gilead Sciences Inc California-baserte legemiddelselskap involvert i COVID-19-forskning.

I et av tilfellene som sikkerhetsforskerne kom over, brukte hackerne en falsk e-postpåloggingsside som var spesielt utviklet for å stjele passord fra en toppleder i Gilead, involvert i bedrifts- og juridiske saker. Angrepet ble funnet på et nettsted som brukes til å skanne nettadresser for ondsinnet aktivitet, men forskerne klarte ikke å fastslå om det var vellykket.
En av analytikerne som undersøkte angrepet var Ohad Zaidenberg fra det israelske cybersikkerhetsfirmaet ClearSky. Han kommenterte at april-angrepet mot Gilead var et forsøk på å kompromittere bedriftens e-postkontoer med en melding som etterlignet en journalisthenvendelse. Andre analytikere, som ikke var autorisert til å kommentere offentlig, har siden bekreftet at angrepet brukte domener og servere som tidligere ble brukt av den iranske hackergruppen kjent som Charming Kitten.

populære hackergrupper

Trending APT Hacker Groups Chart - Kilde: Securitystack.co

Irans diplomatiske oppdrag til FN har benektet enhver involvering i slike angrep, med talsmann Alireza Miryousefi som uttalte at "Den iranske regjeringen engasjerer seg ikke i cyberkrigføring," og legger til "cyberaktiviteter Iran engasjerer seg i er rent defensive og for å beskytte mot ytterligere angrep på Iransk infrastruktur."

Gilead har fulgt selskapets retningslinjer for å diskutere cybersikkerhetssaker og nektet å kommentere. Selskapet har fått mye oppmerksomhet den siste tiden, siden det er produsenten av det antivirale stoffet remdesivir, som foreløpig er den eneste behandlingen som har vist seg å hjelpe pasienter infisert med COVID-19. Gilead er også et av selskapene som leder forskning og utvikling av en behandling for den dødelige sykdommen, noe som gjør den til et hovedmål for etterretningsinnhenting.

Trending

Loading...