APT35

APT35 Descriere

atacuri ale grupului de hackeri apt35 APT35 (Advanced Persistent Threat) este un grup de hacking despre care se crede că provine din Iran. Acest grup de hacking este cunoscut și sub mai multe alte pseudonime – Newscaster Team, Phosphorus, Charming Kitten și Ajax Security Team. Grupul de hacking APT35 este de obicei implicat atât în campanii motivate politic, cât și în cele motivate financiar. Grupul de hacking APT35 tinde să-și concentreze eforturile împotriva actorilor implicați în activismul pentru drepturile omului, a diferitelor organizații media și a sectorului academic în principal. Majoritatea campaniilor se desfășoară în Statele Unite, Israel, Iran și Regatul Unit.

Campanii populare APT35

Una dintre cele mai notorii operațiuni APT35 este cea efectuată împotriva HBO care a avut loc în 2017. În aceasta, APT35 a scurs peste 1 TB de date, care constau în detalii personale ale personalului și emisiuni, care încă nu erau difuzate oficial. O altă campanie infamă APT35 care i-a pus pe hartă este cea care a implicat și un dezertor al Forțelor Aeriene ale SUA. Persoana în cauză a ajutat APT35 să obțină acces la date guvernamentale clasificate. În 2018, grupul APT35 a construit un site web care a fost menit să imite o companie legitimă de securitate cibernetică israeliană. Singura diferență a fost că site-ul fals avea un nume de domeniu ușor modificat. Această campanie a ajutat APT35 să obțină detaliile de conectare ale unora dintre clienții companiei. Cea mai recentă campanie infamă care implică APT35 a fost desfășurată în decembrie 2018. În această operațiune, grupul APT35 a funcționat sub pseudonimul Charming Kitten. Această operațiune a vizat diverși activiști politici care au influențat sancțiunile economice, precum și sancțiunile militare impuse Iranului la acea vreme. Grupul APT35 s-a pozat ca profesioniști de rang înalt implicați în aceleași domenii cu țintele lor. Atacatorii au folosit e-mailuri de phishing personalizate care purtau atașamente false, precum și profiluri de rețele sociale false.

Phishing cu e-mailuri false pentru interviuri

Campaniile de phishing direcționate fac parte din modus operandi al Charming Kitten, hackerii folosind e-mailuri false și inginerie socială ca metode de execuție. Într-o campanie din 2019, grupul Charming Kitten și-a dat identitatea foștilor jurnaliști Wall Street Journal (WSJ) și și-a abordat victimele vizate cu un scenariu de interviu fals. Grupul a fost, de asemenea, observat folosind diferite scenarii, cum ar fi „Interviul CNN” și „Invitația la un webinar Deutsche Welle”, de obicei în jurul unor subiecte ale afacerilor iraniene și internaționale.

Într-un caz particular, atacatorii au creat un e-mail fals în arabă, folosind identitatea lui Farnaz Fassihi, în prezent jurnalist New York Times, care anterior lucrase pentru The Wall Street Journal timp de 17 ani. Destul de interesant, hackerii au prezentat-o pe Farnaz Fassihi ca lucrând pentru fostul ei angajator, The Wall Street Journal.


E-mail de cerere de interviu fals - Sursa: blog.certfa.com

Traducere prin e-mail:

Buna ziua *** ***** ******
Numele meu este Farnaz Fasihi. Sunt jurnalist la ziarul Wall Street Journal.
Echipa din Orientul Mijlociu a WSJ intenționează să introducă persoane de succes non-locale în țările dezvoltate. Activitățile tale în domeniile cercetării și filozofiei științei m-au determinat să te prezint ca un iranian de succes. Directorul echipei din Orientul Mijlociu ne-a cerut să stabilim un interviu cu dumneavoastră și să împărtășim câteva dintre realizările dumneavoastră importante cu publicul nostru. Acest interviu i-ar putea motiva pe tinerii din țara noastră iubită să-și descopere talentele și să se îndrepte către succes.
Inutil să spun că acest interviu este o mare onoare pentru mine personal și vă îndemn să acceptați invitația mea la interviu.
Întrebările sunt concepute profesional de un grup de colegi, iar interviul rezultat va fi publicat în secțiunea Interviu Săptămânal a WSJ. Îți voi trimite întrebările și cerințele interviului imediat ce vei accepta.
*Notă de subsol: non-local se referă la persoanele care s-au născut în alte țări.
Vă mulțumim pentru amabilitate și atenție.
Farnaz Fasihi

Toate linkurile conținute în e-mailuri erau în format URL scurtat, care a fost folosit de hackeri pentru a-și ghida victima către adrese legitime, adunând în același timp informații esențiale despre dispozitivele lor, cum ar fi sistemul de operare, browserul și adresa IP. Aceste informații au fost necesare de la hackeri în pregătirea atacului principal asupra țintelor lor.


Exemplu de pagină WSJ falsă găzduită pe Google Sites - Sursa: blog.certfa.com

După ce și-au stabilit o încredere relativă cu ținta vizată, hackerii le-ar trimite un link unic, care ar conține întrebările interviului. Potrivit mostrelor testate de Computer Emergency Response Team in Farsi (CERTFA), atacatorii folosesc o metodă relativ nouă, care a câștigat multă popularitate în rândul phisher-ilor în ultimul an, găzduind pagini pe Google Sites.

Odată ce victima face clic pe butonul „Descărcare” de pe pagina site-ului Google, ea va fi redirecționată către o altă pagină falsă care va încerca să colecteze acreditările de conectare pentru adresa sa de e-mail și codul de autentificare cu doi factori, folosind kituri de phishing precum Modlishka.

Malware DownPaper de la APT35

Instrumentul DownPaper este un troian backdoor, care este folosit în mare parte ca sarcină utilă de primă etapă și are capabilitățile de a:

  • Stabiliți o conexiune cu serverul C&C (Command & Control) al atacatorului și primiți comenzi și încărcături utile dăunătoare, care urmează să fie executate pe gazda infiltrată.
  • Câștigați persistență modificând Registrul Windows.
  • Adunați informații despre sistemul compromis, cum ar fi date hardware și software.
  • Executați comenzile CMD și PowerShell.

Grupul de hacking APT35 este un grup foarte persistent de indivizi și este puțin probabil să intenționeze să-și oprească activitățile în curând. Ținând cont de faptul că climatul politic din jurul Iranului se încălzește de ceva vreme, este probabil că vom continua să auzim despre campaniile grupului APT35 în viitor.

Actualizare 10 mai 2020 - APT35 implicat în campania de hacking COVID-19

Un set de arhive web disponibile public, examinate de experții în securitate cibernetică, a dezvăluit că grupul iranian de hacking cunoscut sub numele de Charming Kitten, printre alte nume, s-a aflat în spatele unui atac cibernetic din aprilie împotriva companiei de medicamente Gilead Sciences Inc din California, implicată în cercetarea COVID-19.

Într-unul dintre cazurile pe care cercetătorii de securitate le-au întâlnit, hackerii au folosit o pagină de autentificare de e-mail falsă, care a fost special concepută pentru a fura parolele unui director de top al Gilead, implicat în afaceri corporative și juridice. Atacul a fost găsit pe un site web care este folosit pentru a scana adresele web pentru activități rău intenționate, dar cercetătorii nu au putut determina dacă a avut succes.

grupuri de hackeri apt în tendințe
Trending APT Hacker Groups Chart - Sursa: Securitystack.co

Unul dintre analiștii care au cercetat atacul a fost Ohad Zaidenberg de la firma israeliană de securitate cibernetică ClearSky. El a comentat că atacul din aprilie împotriva lui Gilead a fost un efort de a compromite conturile de e-mail corporative cu un mesaj care a uzurpat identitatea unei anchete a jurnaliştilor. Alți analiști, care nu au fost autorizați să comenteze public, au confirmat de atunci că atacul a folosit domenii și servere care au fost folosite anterior de grupul iranian de hacking cunoscut sub numele de Charming Kitten.

Misiunea diplomatică a Iranului la Organizația Națiunilor Unite a negat orice implicare în astfel de atacuri , purtătorul de cuvânt Alireza Miryousefi afirmând că „Guvernul iranian nu se implică în război cibernetic”, adăugând „Activitățile cibernetice în care se angajează Iranul sunt pur defensive și pentru a proteja împotriva altor atacuri asupra Infrastructura iraniană”.

Țările vizate atacatorii Iranului
Țări vizate în campaniile cibernetice iraniene recente - Sursa: Stratfor.com

Gilead a respectat politica companiei privind discutarea problemelor de securitate cibernetică și a refuzat să comenteze. Compania a primit multă atenție în ultima perioadă, deoarece este producătorul medicamentului antiviral remdesivir, care este în prezent singurul tratament dovedit că ajută pacienții infectați cu COVID-19. Gilead este, de asemenea, una dintre companiile care conduc cercetarea și dezvoltarea unui tratament pentru boala mortală, făcându-l o țintă principală pentru eforturile de culegere de informații.