Charmig kattunge APT
Charming Kitten, även känd som APT35 , är ett avancerat ihållande hot, en hackergrupp med misstänkta iranska band. Gruppen är också känd under andra namn: Phosphorus, Ajax Security Team och Newscaster Team. Charming Kitten har observerats ha politiskt motiverade kampanjer, men också sådana som motiveras av ekonomiska skäl. De siktar på människorättsaktivister, medieorganisationer och den akademiska sektorn. Majoriteten av deras kampanjer pressade på för attacker mot Storbritannien, USA, Iran och Israel.
Innehållsförteckning
Kampanjer för charmiga kattungar
En av de mer expansiva operationerna som genomfördes av hackergruppen genomfördes mot HBO 2017. De cyberbrottslingar läckte om en terabyte data med personlig information om företagets personal, kommande shower och mer. Andra attacker iscensatta av Charming Kitten, alias APT35, inkluderade tillgång till detaljerad information genom en avhoppare från det amerikanska flygvapnet och förfalskning av ett israeliskt cybersäkerhetsföretags webbplats för att stjäla inloggningsuppgifter. Attacken som band dem till Iran var en operation 2018 riktad mot politiska aktivister som påverkade sanktionerna mot landet. Charming Kitten-operatörer använde nätfiske-e-postmeddelanden med skadliga bilagor och social ingenjörskonst för att posera som högt rankade proffs.
Den iranska vinkeln för charmig kattunge
Riktade nätfiskekampanjer var en del av hur APT35 (Charming Kitten) gör affärer, vilket kunde ses med deras 2019 års kampanj som syftade till att imitera ex-Wall Street Journal-journalister. De använde det tillvägagångssättet för att sänka sina klor i sina offer med löftet om intervjuer eller inbjudningar till webbseminarier, ofta om ämnen som iranska och internationella angelägenheter vid den tiden.
I ett av dessa fall skrev angriparna ett e-postmeddelande på arabiska under den falska identiteten som imiterade den verkliga Farnaz Fassihi, en före detta Wall Street Journal-anställd med 17 år som arbetat för publikationen. The Charming Kitten-agenter presenterade denna falska persona som fortfarande arbetar för WSJ.
Falsk intervjuförfrågan. Källa: blog.certfa.com
E-postmeddelandets innehåll var följande:
Hej *** ***** ******
Jag heter Farnaz Fasihi. Jag är journalist på tidningen Wall Street Journal.
Mellanösternteamet i WSJ har för avsikt att introducera framgångsrika icke-lokala individer i utvecklade länder. Dina aktiviteter inom forsknings- och vetenskapsfilosofi ledde till att jag introducerade dig som en framgångsrik iranier. Direktören för Mellanösternteamet bad oss ställa in en intervju med dig och dela några av dina viktiga prestationer med vår publik. Den här intervjun kan motivera ungdomarna i vårt älskade land att upptäcka sina talanger och gå mot framgång.
Det behöver inte sägas att den här intervjun är en stor ära för mig personligen, och jag uppmanar dig att acceptera min inbjudan till intervjun.
Frågorna är professionellt utformade av en grupp av mina kollegor och den resulterande intervjun kommer att publiceras i veckointervjusektionen på WSJ. Jag skickar dig frågorna och kraven för intervjun så snart du accepterar.
*Fotnot: Icke-lokal avser personer som är födda i andra länder.
Tack för din vänlighet och uppmärksamhet.
Farnaz Fasihi
Länkarna i e-postmeddelandena var i ett kort URL-format, som ofta användes av hotaktörer för att dölja legitima länkar bakom dem, med syftet att samla in IP-adresser, webbläsare och OS-versioner med mera. Det hjälpte till att bana väg för ytterligare attacker genom att bygga upp förtroende med upprepad kommunikation och förbereda sig för ögonblicket att agera.
När förtroende har etablerats över tid skickar hackarna iväg en länk som innehåller de påstådda intervjufrågorna. Proverna från Computer Emergency Response Team i Farsi (CERTFA) visade att angriparna använde en metod som använts av nätfiskare under de senaste åren, med sidor som värdar Google Sites.
När offret öppnar länken kan de omdirigeras till en annan falsk sida som försöker registrera sina inloggningsuppgifter och tvåfaktorsautentiseringskod genom att använda ett nätfiskekit.
Sammanfattning av Charming Kitten Operations
2015 upptäcktes den första vågen av nätfiskeattacker av forskare, och senare spionageverksamhet i stor skala upptäcktes från 2016 till 2017 av forskare vid ClearSky. Charming Kitten-operatörerna använde imitation, spear-phishing och vattenhålsattacker.
Under 2018 gick Charming Kitten cyberkriminella efter ClearSky med en bedräglig webbplats som imiterade säkerhetsföretagets portal. Fler attacker identifierades det året mot mål i Mellanöstern med en falsk e-postkampanj och falska webbplatser.
Under 2019 utökades aktiviteterna för Charming Kitten (APT35) genom att rikta in sig på icke-iranier i USA, Mellanöstern och Frankrike, med inriktning på offentliga personer utanför de akademiska djävlarna de ursprungligen var ute efter. De började bifoga en spårare till sin e-postkorrespondens för att följa e-postmeddelanden som vidarebefordrades till andra konton, i avsikt att få geolokaliseringsdata.
>>>Uppdatering 10 maj 2020 - APT35 (Charming Kitten) involverad i COVID-19-hackningskampanj
En uppsättning allmänt tillgängliga webbarkiv som granskats av cybersäkerhetsexperter avslöjade att den iranska hackergruppen känd som Charming Kitten, bland andra namn, låg bakom en cyberattack i april mot Gilead Sciences Inc Kalifornien-baserade läkemedelsföretag involverade i covid-19-forskning.
I ett av fallen som säkerhetsforskarna stötte på använde hackarna en falsk e-postinloggningssida som var speciellt utformad för att stjäla lösenord från en toppchef i Gilead, involverad i företags- och juridiska angelägenheter. Attacken hittades på en webbplats som används för att skanna webbadresser efter skadlig aktivitet, men forskarna kunde inte avgöra om det var framgångsrikt.
En av analytikerna som undersökte attacken var Ohad Zaidenberg från det israeliska cybersäkerhetsföretaget ClearSky. Han kommenterade att aprilattacken mot Gilead var ett försök att äventyra företagens e-postkonton med ett meddelande som efterliknade en journalistförfrågan. Andra analytiker, som inte var auktoriserade att kommentera offentligt, har sedan dess bekräftat att attacken använde domäner och servrar som tidigare användes av den iranska hackergruppen känd som Charming Kitten.
Trendande APT Hacker Groups Chart - Källa: Securitystack.co
Irans diplomatiska beskickning till FN har förnekat all inblandning i sådana attacker, och talesmannen Alireza Miryousefi säger att "Den iranska regeringen deltar inte i cyberkrigföring", och tillägger "Cyberaktiviteter Iran ägnar sig åt är rent defensiva och för att skydda mot ytterligare attacker på Iransk infrastruktur."
Gilead har följt företagets policy för att diskutera cybersäkerhetsfrågor och vägrat att kommentera. Företaget har fått mycket uppmärksamhet den senaste tiden, eftersom det är tillverkaren av det antivirala läkemedlet remdesivir, som för närvarande är den enda behandling som visat sig hjälpa patienter infekterade med covid-19. Gilead är också ett av företagen som leder forskning och utveckling av en behandling för den dödliga sjukdomen, vilket gör det till ett främsta mål för insamling av intelligens.
