APT35

Por GoldSparrow em Advanced Persistent Threat (APT)

Traduzir Para:

O APT35 (Ameaça Persistente Avançada) é um grupo de hackers que se acredita serem originários do Irã. Esse grupo de hackers também é conhecido por vários outros pseudônimos - Newscaster Team, Phosphorus, Charming Kitten e Ajax Security Team. O grupo de hackers APT35 geralmente está envolvido em campanhas motivadas politicamente, bem como em motivações financeiras. O grupo de hackers APT35 tende a concentrar seus esforços contra os atores envolvidos no ativismo dos direitos humanos, várias organizações de mídia e o setor acadêmico principalmente. A maioria das campanhas é realizada nos Estados Unidos, Israel, Irã e Reino Unido.

Campanhas Populares do APT35

Uma das operações mais notórias do APT35 é a realizada contra a HBO, que ocorreu em 2017. Nela, o APT35 divulgou mais de 1 TB de dados, que consistiam em detalhes e programas pessoais da equipe que ainda estavam sendo veiculados oficialmente. Outra infame campanha do APT35 que os colocou no mapa é a que também envolveu um desertor da Força Aérea dos EUA. O indivíduo em questão ajudou a APT35 a obter acesso a dados governamentais classificados. Em 2018, o grupo APT35 construiu um site destinado a imitar uma empresa israelense legítima de segurança cibernética. A única diferença era que o site falso tinha um nome de domínio ligeiramente alterado. Essa campanha ajudou o APT35 a obter os detalhes de login de alguns dos clientes da empresa. A última campanha infame envolvendo o APT35 foi realizada em dezembro de 2018. Nesta operação, o grupo APT35 operou sob o pseudônimo de Charming Kitten. Esta operação teve como alvo vários ativistas políticos que tiveram influência nas sanções econômicas, bem como sanções militares impostas ao Irã na época. O grupo APT35 se posicionou como profissionais de alto escalão, envolvidos nos mesmos campos de suas metas. Os invasores usaram e-mails de phishing personalizados com anexos falsos, além de perfis de mídia social falsos.

O DownPaper Malware do APT35

A ferramenta DownPaper é um Trojan backdoor, usado principalmente como uma carga útil de primeiro estágio e tem os recursos para:

Estabelecer uma conexão com o servidor de C&C (Comando e Controle) do invasor e receber comandos e cargas prejudiciais, que devem ser executadas no host infiltrado.
Ganhar persistência violando o Registro do Windows.
Reunir informações sobre o sistema comprometido, como dados de hardware e software.
Executar os comandos CMD e PowerShell.

O grupo de hackers APT35 é um grupo de indivíduos muito persistentes e é improvável que planejem interromper as suas atividades em breve. Tendo em mente que o clima político no Irã está esquentando há algum um tempo, é provável que continuemos ouvindo sobre as campanhas do grupo APT35 no futuro.