APT35

APT35 Beschrijving

apt35 hackergroep aanvallen De APT35 (Advanced Persistent Threat) is een hackgroep waarvan wordt aangenomen dat deze afkomstig is uit Iran. Deze hackgroep is ook bekend onder verschillende andere aliassen - Newscaster Team, Phosphorus, Charming Kitten en Ajax Security Team. De hackgroep APT35 is meestal betrokken bij zowel politiek gemotiveerde als financieel gemotiveerde campagnes. De hackgroep APT35 heeft de neiging om hun inspanningen te concentreren op actoren die betrokken zijn bij mensenrechtenactivisme, verschillende mediaorganisaties en voornamelijk de academische sector. De meeste campagnes vinden plaats in de Verenigde Staten, Israël, Iran en het Verenigd Koninkrijk.

Populaire APT35-campagnes

Een van de meest beruchte APT35-operaties is die tegen HBO die in 2017 plaatsvond. Daarin lekte de APT35 meer dan 1 TB aan gegevens, die bestonden uit persoonlijke gegevens van het personeel en shows, die nog officieel moesten worden uitgezonden. Een andere beruchte APT35-campagne die hen op de kaart zette, is die waarbij ook een overloper van de Amerikaanse luchtmacht betrokken was. De persoon in kwestie hielp APT35 bij het verkrijgen van toegang tot geheime overheidsgegevens. In 2018 bouwde de APT35-groep een website die bedoeld was om een legitiem Israëlisch cyberbeveiligingsbedrijf na te bootsen. Het enige verschil was dat de nepwebsite een licht gewijzigde domeinnaam had. Dankzij deze campagne kreeg de APT35 de inloggegevens van enkele klanten van het bedrijf. De laatste beruchte campagne met de APT35 werd uitgevoerd in december 2018. Bij deze operatie opereerde de APT35-groep onder de alias Charming Kitten. Deze operatie was gericht tegen verschillende politieke activisten die invloed hadden op de economische sancties, evenals op de militaire sancties die destijds tegen Iran waren ingesteld. De APT35-groep deed zich voor als hooggeplaatste professionals die betrokken waren bij dezelfde gebieden als hun doelwitten. De aanvallers gebruikten op maat gemaakte phishing-e-mails met valse bijlagen en nepprofielen op sociale media.

Phishing met valse e-mails voor sollicitatiegesprekken

Gerichte phishing-campagnes maken deel uit van de modus operandi van Charming Kitten, waarbij de hackers valse e-mails en social engineering gebruiken als uitvoeringsmethoden. In een campagne van 2019 deed de Charming Kitten-groep zich voor als voormalige Wall Street Journal (WSJ)-journalisten en benaderde ze hun beoogde slachtoffers met een nep-interviewscenario. De groep is ook gespot met behulp van verschillende scenario's, zoals ''CNN Interview'' en ''Uitnodiging voor een Deutsche Welle Webinar'', meestal rond onderwerpen van Iraanse en internationale aangelegenheden.

In één specifiek geval creëerden de aanvallers een valse e-mail in het Arabisch, met de identiteit van Farnaz Fassihi, momenteel een journalist van de New York Times, die eerder 17 jaar voor The Wall Street Journal had gewerkt. Interessant genoeg presenteerden de hackers Farnaz Fassihi als werkend voor haar voormalige werkgever, The Wall Street Journal.


Nep e-mail voor sollicitatieverzoek - Bron: blog.certfa.com

E-mail vertaling:

Hallo *** ***** ******
Mijn naam is Farnaz Fasihi. Ik ben journalist bij de krant Wall Street Journal.
Het Midden-Oosten-team van de WSJ is van plan om succesvolle niet-lokale individuen in ontwikkelde landen te introduceren. Uw activiteiten op het gebied van onderzoek en wetenschapsfilosofie hebben mij ertoe gebracht u voor te stellen als een succesvolle Iraniër. De directeur van het Midden-Oosten-team heeft ons gevraagd een interview met u te regelen en enkele van uw belangrijke prestaties met ons publiek te delen. Dit interview zou de jeugd van ons geliefde land kunnen motiveren om hun talenten te ontdekken en op weg te gaan naar succes.
Onnodig te zeggen dat dit interview voor mij persoonlijk een grote eer is, en ik verzoek u dringend om mijn uitnodiging voor het interview te accepteren.
De vragen zijn professioneel opgesteld door een groep van mijn collega's en het resulterende interview zal worden gepubliceerd in de sectie Wekelijks interview van de WSJ. Ik stuur je de vragen en vereisten van het interview zodra je akkoord gaat.
*Voetnoot: niet-lokaal verwijst naar mensen die in andere landen zijn geboren.
Bedankt voor je vriendelijkheid en aandacht.
Farnaz Fasihi

Alle links in de e-mails waren in verkorte URL-indeling, die door hackers werd gebruikt om hun slachtoffer naar legitieme adressen te leiden, terwijl ze essentiële informatie over hun apparaten verzamelden, zoals besturingssysteem, browser en IP-adres. Deze informatie was nodig van de hackers ter voorbereiding op de belangrijkste aanval op hun doelen.


Voorbeeld van valse WSJ-pagina die wordt gehost op Google Sites - Bron: blog.certfa.com

Nadat het beoogde doelwit relatief vertrouwen had gekregen, stuurden de hackers hen een unieke link, die naar verluidt de interviewvragen bevat. Volgens monsters die zijn getest door het Computer Emergency Response Team in Farsi (CERTFA), gebruiken de aanvallers een relatief nieuwe methode die het afgelopen jaar veel aan populariteit heeft gewonnen bij phishers, namelijk het hosten van pagina's op Google Sites.

Zodra het slachtoffer op de knop ''Download'' op de Google Site-pagina klikt, wordt het doorgestuurd naar een andere neppagina die zal proberen inloggegevens voor hun e-mailadres en hun tweefactorauthenticatiecode te verzamelen, met behulp van phishingkits zoals Modlishka.

DownPaper-malware van APT35

De DownPaper-tool is een backdoor-trojan, die meestal wordt gebruikt als een payload in de eerste fase en de mogelijkheden heeft om:

  • Breng een verbinding tot stand met de C&C-server (Command & Control) van de aanvaller en ontvang opdrachten en schadelijke payloads die op de geïnfiltreerde host moeten worden uitgevoerd.
  • Krijg doorzettingsvermogen door te knoeien met het Windows-register.
  • Verzamel informatie over het gecompromitteerde systeem, zoals hardware- en softwaregegevens.
  • Voer CMD- en PowerShell-opdrachten uit.

De APT35-hackgroep is een zeer hardnekkige groep individuen en het is onwaarschijnlijk dat ze van plan zijn hun activiteiten op korte termijn stop te zetten. Rekening houdend met het feit dat het politieke klimaat rond Iran al een tijdje aan het opwarmen is, is het waarschijnlijk dat we in de toekomst zullen blijven horen over de campagnes van de APT35-groep.

Update 10 mei 2020 - APT35 betrokken bij COVID-19 hackcampagne

Een reeks openbaar beschikbare webarchieven die zijn beoordeeld door cyberbeveiligingsexperts, onthulden dat de Iraanse hackgroep die bekend staat als onder andere Charming Kitten, achter een cyberaanval in april zat tegen Gilead Sciences Inc, een in Californië gevestigd farmaceutisch bedrijf dat betrokken is bij COVID-19-onderzoek.

In een van de gevallen die de beveiligingsonderzoekers tegenkwamen, gebruikten de hackers een valse e-mailaanmeldingspagina die speciaal was ontworpen om wachtwoorden te stelen van een topmanager van Gilead, die betrokken is bij zakelijke en juridische zaken. De aanval werd gevonden op een website die wordt gebruikt om webadressen te scannen op kwaadaardige activiteiten, maar de onderzoekers konden niet vaststellen of deze succesvol was.

trending apt-hackergroepen
Trending APT Hacker Groups-diagram - Bron: Securitystack.co

Een van de analisten die de aanval onderzochten was Ohad Zaidenberg van het Israëlische cyberbeveiligingsbedrijf ClearSky. Hij merkte op dat de aanval van april op Gilead een poging was om zakelijke e-mailaccounts te compromitteren met een bericht dat deed denken aan een journalistenonderzoek. Andere analisten, die niet bevoegd waren om in het openbaar commentaar te geven, hebben sindsdien bevestigd dat de aanval gebruik maakte van domeinen en servers die eerder werden gebruikt door de Iraanse hackgroep die bekend staat als Charming Kitten.

De diplomatieke missie van Iran bij de Verenigde Naties heeft elke betrokkenheid bij dergelijke aanvallen ontkend, waarbij woordvoerder Alireza Miryousefi verklaarde dat "de Iraanse regering zich niet bezighoudt met cyberoorlogvoering", en eraan toevoegt: "Cyberactiviteiten die Iran onderneemt, zijn puur defensief en beschermen tegen verdere aanvallen op Iraanse infrastructuur."

gerichte landen iran-aanvallers
Landen die het doelwit zijn van recente Iraanse cybercampagnes - Bron: Stratfor.com

Gilead heeft het bedrijfsbeleid gevolgd met betrekking tot het bespreken van cyberbeveiligingskwesties en weigerde commentaar te geven. Het bedrijf heeft de laatste tijd veel aandacht gekregen, aangezien het de fabrikant is van het antivirale medicijn remdesivir, dat momenteel de enige behandeling is waarvan is bewezen dat het patiënten helpt die besmet zijn met COVID-19. Gilead is ook een van de bedrijven die leiding geeft aan het onderzoek naar en de ontwikkeling van een behandeling voor de dodelijke ziekte, waardoor het een belangrijk doelwit is voor inspanningen om inlichtingen te verzamelen.