Charmante kitten APT
Charming Kitten, ook wel bekend als APT35 , is een geavanceerde aanhoudende dreiging, een hackersgroep met vermoedelijke Iraanse banden. De groep is ook bekend onder andere namen: Phosphorus, Ajax Security Team en Newscaster Team. Het is waargenomen dat Charming Kitten politiek gemotiveerde campagnes heeft, maar ook om financiële redenen. Ze mikken op mensenrechtenactivisten, mediaorganisaties en de academische sector. Het merendeel van hun campagnes drong aan op aanvallen op het Verenigd Koninkrijk, de Verenigde Staten, Iran en Israël.
Inhoudsopgave
Charmante kittencampagnes
Een van de uitgebreidere operaties die de hackergroep ondernam, werd in 2017 uitgevoerd tegen HBO. De cybercriminelen lekten een terabyte aan gegevens met persoonlijke informatie over het personeel van het bedrijf, aankomende shows en meer. Andere aanvallen van Charming Kitten, ook bekend als APT35, omvatten toegang tot gedetailleerde gegevens via een overloper van de Amerikaanse luchtmacht en het vervalsen van de website van een Israëlisch cyberbeveiligingsbedrijf om inloggegevens te stelen. De aanval die hen aan Iran verbond, was een operatie uit 2018 gericht op politieke activisten die de sancties tegen het land beïnvloedden. Charming Kitten-agenten gebruikten phishing-e-mails met kwaadaardige bijlagen en social engineering om zich voor te doen als hooggeplaatste professionals.
De Iraanse invalshoek voor charmante kittens
Gerichte phishing-campagnes maakten deel uit van de manier waarop de APT35 (Charming Kitten) zaken doet, zoals te zien was aan hun campagne van 2019 die erop gericht was ex-Wall Street Journal-journalisten na te doen. Ze gebruikten die aanpak om hun klauwen in hun slachtoffers te laten zakken met de belofte van interviews of uitnodigingen voor webinars, vaak over de toenmalige Iraanse en internationale aangelegenheden.
In een van deze gevallen schreven de aanvallers een e-mail in het Arabisch onder de valse identiteit en imiteerden ze de echte Farnaz Fassihi, een ex-medewerker van Wall Street Journal die al 17 jaar voor de publicatie werkte. De agenten van Charming Kitten presenteerden dit neppersonage als nog steeds werkend voor WSJ.
Vals interviewverzoek. Bron: blog.certfa.com
De inhoud van de e-mail was als volgt:
Hallo *** ***** ******
Mijn naam is Farnaz Fasihi. Ik ben journalist bij de krant Wall Street Journal.
Het Midden-Oosten-team van de WSJ is van plan om succesvolle niet-lokale individuen in ontwikkelde landen te introduceren. Uw activiteiten op het gebied van onderzoek en wetenschapsfilosofie hebben mij ertoe gebracht u voor te stellen als een succesvolle Iraniër. De directeur van het Midden-Oosten-team heeft ons gevraagd een interview met u te regelen en enkele van uw belangrijke prestaties met ons publiek te delen. Dit interview zou de jeugd van ons geliefde land kunnen motiveren om hun talenten te ontdekken en op weg te gaan naar succes.
Onnodig te zeggen dat dit interview voor mij persoonlijk een grote eer is, en ik verzoek u dringend om mijn uitnodiging voor het interview te accepteren.
De vragen zijn professioneel opgesteld door een groep van mijn collega's en het resulterende interview zal worden gepubliceerd in de sectie Wekelijks interview van de WSJ. Ik stuur je de vragen en vereisten van het interview zodra je akkoord gaat.
*Voetnoot: niet-lokaal verwijst naar mensen die in andere landen zijn geboren.
Bedankt voor je vriendelijkheid en aandacht.
Farnaz Fasihi
De links in de e-mails waren in een korte URL-indeling, vaak gebruikt door bedreigingsactoren om legitieme links erachter te verbergen, gericht op het verzamelen van gegevens over IP-adressen, browser- en OS-versies en meer. Dat hielp de weg vrij te maken voor verdere aanvallen door vertrouwen op te bouwen met herhaalde communicatie en voorbereiding op het moment om actie te ondernemen.
Zodra het vertrouwen in de loop van de tijd is gevestigd, sturen de hackers een link met de vermeende interviewvragen. Het Computer Emergency Response Team in Farsi (CERTFA) toonde aan dat de aanvallers een methode gebruikten die de afgelopen jaren door phishers werd gebruikt, met door Google Sites gehoste pagina's.
Zodra het slachtoffer de link opent, kan het worden omgeleid naar een andere neppagina die probeert zijn inloggegevens en tweefactorauthenticatiecode vast te leggen door middel van een phishingkit.
Samenvatting van charmante kittenoperaties
In 2015 werd de eerste golf van phishing-aanvallen ontdekt door onderzoekers, met latere spionageoperaties op grote schaal die van 2016 tot 2017 werden ontdekt door onderzoekers van ClearSky. De Charming Kitten-operators gebruikten imitatie-, spear-phishing- en watergataanvallen.
In 2018 gingen Charming Kitten-cybercriminelen achter ClearSky aan met een frauduleuze website die zich voordeed als de portal van het beveiligingsbedrijf. Er werden dat jaar meer aanvallen vastgesteld op doelen uit het Midden-Oosten met een valse e-mailcampagne en valse websites.
In 2019 breidden de activiteiten van Charming Kitten (APT35) uit door zich te richten op niet-Iraniërs in de VS, het Midden-Oosten en Frankrijk, met het richten op publieke figuren buiten de academische duivels waar ze aanvankelijk op uit waren. Ze begonnen een tracker aan hun e-mailcorrespondentie te koppelen om e-mails te volgen die naar andere accounts werden doorgestuurd, met de bedoeling geolocatiegegevens te verkrijgen.
>>>Update 10 mei 2020 - APT35 (Charming Kitten) betrokken bij COVID-19 hackcampagne
Een reeks openbaar beschikbare webarchieven die zijn beoordeeld door cyberbeveiligingsexperts, onthulden dat de Iraanse hackgroep die bekend staat als onder andere Charming Kitten, achter een cyberaanval in april zat tegen Gilead Sciences Inc, een in Californië gevestigd farmaceutisch bedrijf dat betrokken is bij COVID-19-onderzoek.
In een van de gevallen die de beveiligingsonderzoekers tegenkwamen, gebruikten de hackers een valse e-mailaanmeldingspagina die speciaal was ontworpen om wachtwoorden te stelen van een topmanager van Gilead, die betrokken is bij zakelijke en juridische zaken. De aanval werd gevonden op een website die wordt gebruikt om webadressen te scannen op kwaadaardige activiteiten, maar de onderzoekers konden niet vaststellen of deze succesvol was.
Een van de analisten die de aanval onderzochten was Ohad Zaidenberg van het Israëlische cyberbeveiligingsbedrijf ClearSky. Hij merkte op dat de aanval van april op Gilead een poging was om zakelijke e-mailaccounts te compromitteren met een bericht dat deed denken aan een journalistenonderzoek. Andere analisten, die niet bevoegd waren om in het openbaar commentaar te geven, hebben sindsdien bevestigd dat de aanval gebruik maakte van domeinen en servers die eerder werden gebruikt door de Iraanse hackgroep die bekend staat als Charming Kitten.
Trending APT Hacker Groups Chart - Bron: Securitystack.co
De diplomatieke missie van Iran bij de Verenigde Naties heeft elke betrokkenheid bij dergelijke aanvallen ontkend, waarbij woordvoerder Alireza Miryousefi verklaarde dat "de Iraanse regering zich niet bezighoudt met cyberoorlogvoering", en eraan toevoegt: "Cyberactiviteiten die Iran onderneemt, zijn puur defensief en beschermen tegen verdere aanvallen op Iraanse infrastructuur."
Gilead heeft het bedrijfsbeleid gevolgd met betrekking tot het bespreken van cyberbeveiligingskwesties en weigerde commentaar te geven. Het bedrijf heeft de laatste tijd veel aandacht gekregen, aangezien het de fabrikant is van het antivirale medicijn remdesivir, dat momenteel de enige behandeling is waarvan is bewezen dat het patiënten helpt die besmet zijn met COVID-19. Gilead is ook een van de bedrijven die leiding geeft aan het onderzoek naar en de ontwikkeling van een behandeling voor de dodelijke ziekte, waardoor het een belangrijk doelwit is voor inspanningen om inlichtingen te verzamelen.
