APT35

APT35 Описание

Групповые атаки хакеров apt35 APT35 (Advanced Persistent Threat) — это хакерская группа, которая, как считается, происходит из Ирана. Эта хакерская группа также известна под несколькими другими псевдонимами — Newscaster Team, Phosphorus, Charming Kitten и Ajax Security Team. Хакерская группа APT35 обычно участвует как в политически мотивированных кампаниях, так и в финансовых. Хакерская группа APT35, как правило, концентрирует свои усилия против субъектов, занимающихся правозащитной деятельностью, различных медиа-организаций и в основном академического сектора. Большинство кампаний проводится в США, Израиле, Иране и Великобритании.

Популярные кампании APT35

Одна из самых известных операций APT35 — операция, проведенная против HBO в 2017 году. В ходе нее APT35 утекла более 1 ТБ данных, которые состояли из личных данных сотрудников и шоу, которые еще не вышли в эфир официально. Еще одна печально известная кампания APT35, которая прославила их, — это та, в которой также участвовал перебежчик из ВВС США. Указанное лицо помогло APT35 получить доступ к секретным правительственным данным. В 2018 году группа APT35 создала веб-сайт, который должен был имитировать законную израильскую компанию по кибербезопасности. Единственная разница заключалась в том, что у поддельного сайта было немного измененное доменное имя. Эта кампания помогла APT35 получить данные для входа в систему некоторых клиентов компании. Последняя печально известная кампания с участием APT35 была проведена в декабре 2018 года. В этой операции группа APT35 действовала под псевдонимом Charming Kitten. Эта операция была направлена против различных политических активистов, имевших влияние на экономические санкции, а также военные санкции, наложенные на Иран в то время. Группа APT35 выдавала себя за высокопоставленных профессионалов, работающих в тех же областях, что и их цели. Злоумышленники использовали специализированные фишинговые электронные письма с поддельными вложениями, а также поддельные профили в социальных сетях.

Фишинг с поддельными электронными письмами с интервью

Целевые фишинговые кампании являются частью методов работы Charming Kitten, при этом хакеры используют поддельные электронные письма и социальную инженерию в качестве методов исполнения. В одной из кампаний 2019 года группа «Очаровательный котенок» выдавала себя за бывших журналистов Wall Street Journal (WSJ) и предлагала предполагаемым жертвам фальшивый сценарий интервью. Группа также была замечена с использованием различных сценариев, таких как «Интервью CNN» и «Приглашение на вебинар Deutsche Welle», обычно посвященных темам иранских и международных отношений.

В одном конкретном случае злоумышленники создали поддельное электронное письмо на арабском языке, используя личность Фарназа Фассихи, в настоящее время журналиста New York Times, который ранее работал в The Wall Street Journal в течение 17 лет. Интересно, что хакеры представили Фарназ Фассихи как работающую на ее бывшего работодателя, The Wall Street Journal.


Электронное письмо с поддельным запросом на собеседование - Источник: blog.certfa.com

Электронный перевод:

Привет *** ***** ******
Меня зовут Фарназ Фасихи. Я журналист газеты Wall Street Journal.
Ближневосточная команда WSJ намерена представить успешных неместных специалистов в развитых странах. Ваша деятельность в области исследований и философии науки побудила меня представить вас как успешного иранца. Директор ближневосточной команды попросил нас организовать интервью с вами и поделиться с нашей аудиторией некоторыми вашими важными достижениями. Это интервью могло бы мотивировать молодежь нашей любимой страны раскрыть свои таланты и двигаться к успеху.
Излишне говорить, что это интервью является большой честью лично для меня, и я призываю вас принять мое приглашение на интервью.
Вопросы профессионально составлены группой моих коллег, и итоговое интервью будет опубликовано в разделе Weekly Interview на WSJ. Я пришлю вам вопросы и требования интервью, как только вы их примете.
*Сноска: к неместным относятся люди, родившиеся в других странах.
Спасибо за вашу доброту и внимание.
Фарназ Фасихи

Все ссылки, содержащиеся в электронных письмах, были в формате сокращенного URL-адреса, который хакеры использовали, чтобы направить свою жертву на законные адреса, собирая при этом важную информацию об их устройствах, такую как операционная система, браузер и IP-адрес. Эта информация была нужна хакерам для подготовки к основной атаке на их цели.


Образец поддельной страницы WSJ, размещенной на Сайтах Google — Источник: blog.certfa.com

После установления относительного доверия с намеченной целью хакеры отправляли им уникальную ссылку, якобы содержащую вопросы для интервью. Согласно образцам, протестированным Группой реагирования на компьютерные чрезвычайные ситуации на фарси (CERTFA), злоумышленники используют относительно новый метод, который за последний год приобрел большую популярность среди фишеров, размещая страницы на сайтах Google.

Как только жертва нажмет кнопку «Загрузить» на странице сайта Google, она будет перенаправлена на другую поддельную страницу, которая попытается получить учетные данные для входа в систему для их адреса электронной почты и их кода двухфакторной аутентификации, используя наборы для фишинга, такие как Модлишка.

Вредоносная программа APT35 DownPaper

Инструмент DownPaper — это троян-бэкдор, который в основном используется в качестве полезной нагрузки на первом этапе и имеет следующие возможности:

  • Установите соединение с сервером C&C (Command & Control) злоумышленника и получите команды и вредоносную полезную нагрузку, которые должны быть выполнены на зараженном хосте.
  • Получите настойчивость, вмешавшись в реестр Windows.
  • Соберите информацию о скомпрометированной системе, например данные об оборудовании и программном обеспечении.
  • Выполните команды CMD и PowerShell.

Хакерская группа APT35 — очень настойчивая группа людей, и маловероятно, что они планируют прекратить свою деятельность в ближайшее время. Принимая во внимание, что политический климат вокруг Ирана уже некоторое время накаляется, вполне вероятно, что мы будем слышать о кампаниях группы APT35 в будущем.

Обновление от 10 мая 2020 г. — APT35 участвует в хакерской кампании COVID-19

Набор общедоступных веб-архивов, просмотренных экспертами по кибербезопасности, показал, что иранская хакерская группа, известная среди прочего как Charming Kitten, стояла за апрельской кибератакой на калифорнийскую фармацевтическую компанию Gilead Sciences Inc, участвовавшую в исследованиях COVID-19.

В одном из случаев, с которым столкнулись исследователи безопасности, хакеры использовали фиктивную страницу входа в систему электронной почты, которая была специально разработана для кражи паролей от высшего руководства Gilead, занимающегося корпоративными и юридическими делами. Атака была обнаружена на веб-сайте, который используется для сканирования веб-адресов на предмет вредоносной активности, но исследователи не смогли определить, была ли она успешной.

популярные хакерские группы
Таблица трендовых хакерских групп APT — Источник: Securitystack.co

Одним из аналитиков, исследовавших атаку, был Охад Зайденберг из израильской компании по кибербезопасности ClearSky. Он отметил, что апрельская атака на Gilead была попыткой скомпрометировать учетные записи корпоративной электронной почты с помощью сообщения, имитирующего журналистский запрос. Другие аналитики, не уполномоченные давать публичные комментарии, с тех пор подтвердили, что для атаки использовались домены и серверы, которые ранее использовались иранской хакерской группой, известной как Charming Kitten.

Дипломатическая миссия Ирана при Организации Объединенных Наций отрицает какую-либо причастность к таким атакам , а пресс-секретарь Алиреза Мирьюсефи заявил, что «правительство Ирана не ведет кибервойну», добавив, что «кибердеятельность, которой занимается Иран, носит чисто оборонительный характер и предназначена для защиты от дальнейших атак на Иранская инфраструктура».

целевые страны Иранские атакующие
Страны, ставшие мишенью недавних иранских киберкампаний — Источник: Stratfor.com

Gilead придерживается политики компании в отношении обсуждения вопросов кибербезопасности и отказывается от комментариев. В последнее время компании уделяется много внимания, поскольку она является производителем противовирусного препарата ремдесивир, который в настоящее время является единственным средством, которое помогает пациентам, инфицированным COVID-19. Gilead также является одной из компаний, занимающихся исследованиями и разработками в области лечения смертельной болезни, что делает ее главной целью для сбора разведывательных данных.