APT35

APT35 (Advanced Persistent Threat) är en hackergrupp som tros komma från Iran. Denna hackningsgrupp är också känd under flera andra alias – Newscaster Team, Phosphorus, Charming Kitten och Ajax Security Team. APT35-hackargruppen är vanligtvis involverad i både politiskt motiverade kampanjer, såväl som ekonomiskt motiverade. APT35-hackargruppen tenderar att koncentrera sina ansträngningar mot aktörer som är involverade i människorättsaktivism, olika medieorganisationer och främst den akademiska sektorn. De flesta av kampanjerna genomförs i USA, Israel, Iran och Storbritannien.

Populära APT35-kampanjer

En av de mest ökända APT35-operationerna är den som genomfördes mot HBO som ägde rum 2017. I den läckte APT35 över 1 TB data, som bestod av personalens personliga detaljer och shower, som ännu inte hade sänts officiellt. En annan ökända APT35-kampanj som satte dem på kartan är den som också involverade en avhoppare från det amerikanska flygvapnet. Individen i fråga hjälpte APT35 att få tillgång till sekretessbelagda myndighetsuppgifter. 2018 byggde APT35-gruppen en webbplats som var tänkt att efterlikna ett legitimt israeliskt cybersäkerhetsföretag. Den enda skillnaden var att den falska webbplatsen hade ett något ändrat domännamn. Denna kampanj hjälpte APT35 att få inloggningsuppgifterna för några av företagets kunder. Den senaste ökända kampanjen som involverade APT35 genomfördes i december 2018. I denna operation opererade APT35-gruppen under aliaset Charming Kitten. Denna operation riktade sig mot olika politiska aktivister som hade inflytande i de ekonomiska sanktionerna, såväl som militära sanktioner mot Iran vid den tiden. APT35-gruppen poserade som högt uppsatta yrkesverksamma inom samma områden som deras mål. Angriparna använde skräddarsydda nätfiske-e-postmeddelanden med falska bilagor, såväl som falska sociala medieprofiler.

Nätfiske med falska intervjumail

Riktade nätfiskekampanjer är en del av Charming Kittens modus operandi, där hackarna använder falska e-postmeddelanden och social ingenjörskonst som avrättningsmetoder. I en kampanj 2019 efterliknade gruppen Charming Kitten sig tidigare Wall Street Journal (WSJ) journalister och närmade sig deras avsedda offer med ett falskt intervjuscenario. Gruppen har också setts med hjälp av olika scenarier, såsom ''CNN Interview'' och ''Invitation to a Deutsche Welle Webinar'', vanligtvis kring ämnen om iranska och internationella angelägenheter.

I ett särskilt fall skapade angriparna ett falskt e-postmeddelande på arabiska, med identiteten för Farnaz Fassihi, för närvarande en New York Times-journalist, som tidigare arbetat för The Wall Street Journal i 17 år. Intressant nog presenterade hackarna Farnaz Fassihi som arbetande för sin tidigare arbetsgivare, The Wall Street Journal.

Falsk intervjuförfrågan via e-post - Källa: blog.certfa.com

E-postöversättning:

Hej *** ***** ******
Jag heter Farnaz Fasihi. Jag är journalist på tidningen Wall Street Journal.
Mellanösternteamet i WSJ har för avsikt att introducera framgångsrika icke-lokala individer i utvecklade länder. Dina aktiviteter inom forsknings- och vetenskapsfilosofi ledde till att jag introducerade dig som en framgångsrik iranier. Direktören för Mellanösternteamet bad oss ställa in en intervju med dig och dela några av dina viktiga prestationer med vår publik. Den här intervjun kan motivera ungdomarna i vårt älskade land att upptäcka sina talanger och gå mot framgång.
Det behöver inte sägas att den här intervjun är en stor ära för mig personligen, och jag uppmanar dig att acceptera min inbjudan till intervjun.
Frågorna är professionellt utformade av en grupp av mina kollegor och den resulterande intervjun kommer att publiceras i avsnittet Weekly Interview av WSJ. Jag skickar dig frågorna och kraven för intervjun så snart du accepterar.
*Fotnot: Icke-lokal avser personer som är födda i andra länder.
Tack för din vänlighet och uppmärksamhet.
Farnaz Fasihi

Alla länkar i e-postmeddelandena var i förkortat URL-format, som användes av hackare för att vägleda sina offer till legitima adresser, samtidigt som de samlade in viktig information om deras enheter, såsom operativsystem, webbläsare och IP-adress. Denna information behövdes från hackarna som förberedelse för huvudattacken mot deras mål.

Exempel på falsk WSJ-sida på Google Sites - Källa: blog.certfa.com

Efter att ha etablerat ett relativt förtroende med det avsedda målet skickade hackarna en unik länk till dem som påstås innehålla intervjufrågorna. Enligt prover som testats av Computer Emergency Response Team i Farsi (CERTFA) använder angriparna en relativt ny metod som har vunnit mycket popularitet bland nätfiskare under det senaste året, som är värd för sidor på Google Sites.

När offret klickar på knappen ''Ladda ner'' på Googles webbplats, kommer de att omdirigeras till en annan falsk sida som kommer att försöka samla in inloggningsuppgifter för sin e-postadress och sin tvåfaktorsautentiseringskod, med hjälp av nätfiskepaket som Modlishka.

APT35:s DownPaper Malware

DownPaper-verktyget är en bakdörrstrojan, som oftast används som en nyttolast i första steget och har kapaciteten att:

• Upprätta en anslutning till angriparens C&C (Command & Control)-server och ta emot kommandon och skadliga nyttolaster, som ska köras på den infiltrerade värden.
• Få uthållighet genom att manipulera Windows-registret.
• Samla information om det komprometterade systemet, till exempel hård- och mjukvarudata.
• Kör CMD- och PowerShell-kommandon.

APT35-hackningsgruppen är en mycket ihållande grupp individer, och det är osannolikt att de planerar att stoppa sina aktiviteter någon gång snart. Med tanke på att det politiska klimatet runt Iran har värmts upp ett tag, är det troligt att vi kommer att fortsätta att höra om APT35-gruppens kampanjer i framtiden.

Uppdatering 10 maj 2020 – APT35 inblandad i COVID-19-hackningskampanj

En uppsättning allmänt tillgängliga webbarkiv som granskats av cybersäkerhetsexperter avslöjade att den iranska hackergruppen känd som Charming Kitten, bland andra namn, låg bakom en cyberattack i april mot Gilead Sciences Inc Kalifornien-baserade läkemedelsföretag involverade i covid-19-forskning.

I ett av fallen som säkerhetsforskarna stötte på använde hackarna en falsk e-postinloggningssida som var speciellt utformad för att stjäla lösenord från en toppchef i Gilead, involverad i företags- och juridiska angelägenheter. Attacken hittades på en webbplats som används för att skanna webbadresser efter skadlig aktivitet, men forskarna kunde inte avgöra om det var framgångsrikt.

Trendande APT Hacker Groups Chart - Källa: Securitystack.co

En av analytikerna som undersökte attacken var Ohad Zaidenberg från det israeliska cybersäkerhetsföretaget ClearSky. Han kommenterade att aprilattacken mot Gilead var ett försök att äventyra företagens e-postkonton med ett meddelande som imiterade en journalistförfrågan. Andra analytiker, som inte var auktoriserade att kommentera offentligt, har sedan dess bekräftat att attacken använde domäner och servrar som tidigare användes av den iranska hackergruppen känd som Charming Kitten.

Irans diplomatiska beskickning till FN har förnekat all inblandning i sådana attacker , och talesmannen Alireza Miryousefi säger att "Den iranska regeringen deltar inte i cyberkrigföring", och tillägger "Cyberaktiviteter Iran ägnar sig åt är rent defensiva och för att skydda mot ytterligare attacker på Iransk infrastruktur."

Länder som är inriktade på de senaste iranska cyberkampanjerna - Källa: Stratfor.com

Gilead har följt företagets policy för att diskutera cybersäkerhetsfrågor och vägrat att kommentera. Företaget har fått mycket uppmärksamhet den senaste tiden, eftersom det är tillverkaren av det antivirala läkemedlet remdesivir, som för närvarande är den enda behandling som visat sig hjälpa patienter infekterade med covid-19. Gilead är också ett av företagen som leder forskning och utveckling av en behandling för den dödliga sjukdomen, vilket gör det till ett främsta mål för inhämtande av intelligens.