Очаровательный котенок АПТ
Charming Kitten, также известный как APT35 , — это продвинутая постоянная угроза, хакерская группа, подозреваемая в связях с Ираном. Группа также известна под другими названиями: Phosphorus, Ajax Security Team и Newscaster Team. Было замечено, что Charming Kitten проводит кампании как по политическим мотивам, так и по финансовым причинам. Они нацелены на активистов-правозащитников, организации СМИ и академический сектор. Большинство их кампаний подталкивали к нападениям на Великобританию, США, Иран и Израиль.
Оглавление
Кампании «Очаровательный котенок»
Одна из самых масштабных операций, предпринятых хакерской группой, была проведена против HBO в 2017 году. Киберпреступники утекли около терабайта данных с личной информацией о персонале компании, предстоящих шоу и многом другом. Другие атаки, организованные Charming Kitten, также известным как APT35, включали доступ к подробным данным через перебежчика ВВС США и подделку веб-сайта израильской компании по кибербезопасности для кражи данных для входа. Атака, которая связала их с Ираном, была операцией 2018 года, направленной против политических активистов, которые повлияли на санкции, направленные против страны. Оперативники Charming Kitten использовали фишинговые электронные письма с вредоносными вложениями и социальную инженерию, чтобы выдать себя за высокопоставленных профессионалов.
Иранский ракурс очаровательного котенка
Целевые фишинговые кампании были частью того, как APT35 (Очаровательный котенок) ведет бизнес, как это видно из их кампании 2019 года, направленной на то, чтобы выдать себя за бывших журналистов Wall Street Journal. Они использовали этот подход, чтобы вонзить свои когти в своих жертв, обещая интервью или приглашения на вебинары, часто на темы иранских и международных дел того времени.
В одном из таких случаев злоумышленники составили электронное письмо на арабском языке под вымышленным именем, имитируя реального Фарназа Фассихи, бывшего сотрудника Wall Street Journal, проработавшего в издании 17 лет. Оперативники Charming Kitten представили эту фальшивую личность как все еще работающую на WSJ.
Поддельный запрос на интервью. Источник: blog.certfa.com
Содержание письма было следующим:
Привет *** ***** ******
Меня зовут Фарназ Фасихи. Я журналист газеты Wall Street Journal.
Ближневосточная команда WSJ намерена представить успешных неместных специалистов в развитых странах. Ваша деятельность в области исследований и философии науки побудила меня представить вас как успешного иранца. Директор ближневосточной команды попросил нас организовать интервью с вами и поделиться с нашей аудиторией некоторыми вашими важными достижениями. Это интервью могло бы мотивировать молодежь нашей любимой страны раскрыть свои таланты и двигаться к успеху.
Излишне говорить, что это интервью является большой честью лично для меня, и я призываю вас принять мое приглашение на интервью.
Вопросы профессионально составлены группой моих коллег, и итоговое интервью будет опубликовано в разделе Weekly Interview на WSJ. Я пришлю вам вопросы и требования интервью, как только вы их примете.
*Сноска: к неместным относятся люди, родившиеся в других странах.
Спасибо за вашу доброту и внимание.
Фарназ Фасихи
Ссылки в электронных письмах были в формате короткого URL-адреса, который часто использовался злоумышленниками для маскировки законных ссылок за ними с целью сбора данных об IP-адресах, версиях браузера, ОС и т. д. Это помогло проложить путь к дальнейшим атакам, установив доверие с помощью повторного общения и подготовившись к действию.
Как только доверие устанавливается с течением времени, хакеры отправляют ссылку, содержащую предполагаемые вопросы интервью. Образцы группы реагирования на компьютерные чрезвычайные ситуации на фарси (CERTFA) показали, что злоумышленники использовали метод, используемый фишерами в последние годы, со страницами, размещенными на Сайтах Google.
Как только жертва открывает ссылку, она может быть перенаправлена на другую поддельную страницу, которая пытается записать их учетные данные для входа и код двухфакторной аутентификации с помощью набора для фишинга.
Краткое изложение Операций с очаровательным котенком
В 2015 году исследователи обнаружили первую волну фишинговых атак, а более поздние шпионские операции в массовом масштабе были обнаружены в период с 2016 по 2017 год исследователями ClearSky. Операторы Charming Kitten использовали атаки с выдачей себя за другое лицо, целевой фишинг и водопой.
В 2018 году киберпреступники Charming Kitten преследовали ClearSky с мошенническим веб-сайтом, выдающим себя за портал охранной компании. В том же году было выявлено больше атак против ближневосточных целей с помощью поддельной кампании по электронной почте и поддельных веб-сайтов.
В 2019 году деятельность Charming Kitten (APT35) расширилась за счет ориентации на неиранцев в США, на Ближнем Востоке и во Франции, а также на общественных деятелей, не являющихся академическими извергами, на которых они изначально рассчитывали. Они начали прикреплять трекер к своей переписке по электронной почте, чтобы отслеживать электронные письма, пересылаемые на другие учетные записи, с намерением получить данные о геолокации.
>>>Обновление от 10 мая 2020 г. — APT35 (очаровательный котенок) участвует в хакерской кампании COVID-19
Набор общедоступных веб-архивов, просмотренных экспертами по кибербезопасности, показал, что иранская хакерская группа, известная среди прочего как Charming Kitten, стояла за апрельской кибератакой на калифорнийскую фармацевтическую компанию Gilead Sciences Inc, участвовавшую в исследованиях COVID-19.
В одном из случаев, с которым столкнулись исследователи безопасности, хакеры использовали фиктивную страницу входа в систему электронной почты, которая была специально разработана для кражи паролей от высшего руководства Gilead, занимающегося корпоративными и юридическими делами. Атака была обнаружена на веб-сайте, который используется для сканирования веб-адресов на предмет вредоносной активности, но исследователи не смогли определить, была ли она успешной.
Одним из аналитиков, исследовавших атаку, был Охад Зайденберг из израильской компании по кибербезопасности ClearSky. Он отметил, что апрельская атака на Gilead была попыткой скомпрометировать учетные записи корпоративной электронной почты с помощью сообщения, имитирующего журналистский запрос. Другие аналитики, не уполномоченные давать публичные комментарии, с тех пор подтвердили, что для атаки использовались домены и серверы, которые ранее использовались иранской хакерской группой, известной как Charming Kitten.
Таблица трендовых хакерских групп APT — Источник: Securitystack.co
Дипломатическая миссия Ирана при Организации Объединенных Наций отрицает какую-либо причастность к таким атакам, а официальный представитель Алиреза Мирьюсефи заявил, что «правительство Ирана не ведет кибервойну», добавив, что «кибердеятельность, которой занимается Иран, носит чисто оборонительный характер и предназначена для защиты от дальнейших атак на Иранская инфраструктура».
Gilead придерживается политики компании в отношении обсуждения вопросов кибербезопасности и отказывается от комментариев. В последнее время компании уделяется большое внимание, поскольку она является производителем противовирусного препарата ремдесивир, который в настоящее время является единственным средством, которое помогает пациентам, инфицированным COVID-19. Gilead также является одной из компаний, занимающихся исследованиями и разработками в области лечения смертельной болезни, что делает ее главной целью для сбора разведывательных данных.
