APT35

APT35 (అధునాతన పెర్సిస్టెంట్ థ్రెట్) అనేది ఇరాన్ నుండి ఉద్భవించిందని నమ్ముతున్న హ్యాకింగ్ గ్రూప్. ఈ హ్యాకింగ్ సమూహం అనేక ఇతర మారుపేర్లతో కూడా పిలువబడుతుంది - న్యూస్‌కాస్టర్ టీమ్, ఫాస్ఫరస్, చార్మింగ్ కిట్టెన్ మరియు అజాక్స్ సెక్యూరిటీ టీమ్. APT35 హ్యాకింగ్ సమూహం సాధారణంగా రాజకీయంగా ప్రేరేపించబడిన ప్రచారాలలో, అలాగే ఆర్థికంగా ప్రేరేపించబడిన వాటిలో పాల్గొంటుంది. APT35 హ్యాకింగ్ గ్రూప్ మానవ హక్కుల క్రియాశీలత, వివిధ మీడియా సంస్థలు మరియు ప్రధానంగా విద్యా రంగానికి వ్యతిరేకంగా తమ ప్రయత్నాలను కేంద్రీకరిస్తుంది. యునైటెడ్ స్టేట్స్, ఇజ్రాయెల్, ఇరాన్ మరియు యునైటెడ్ కింగ్‌డమ్‌లలో చాలా ప్రచారాలు నిర్వహించబడతాయి.

జనాదరణ పొందిన APT35 ప్రచారాలు

అత్యంత అపఖ్యాతి పాలైన APT35 కార్యకలాపాలలో ఒకటి 2017లో HBOకి వ్యతిరేకంగా నిర్వహించబడింది. అందులో, APT35 1TB డేటాను లీక్ చేసింది, ఇందులో సిబ్బంది వ్యక్తిగత వివరాలు మరియు షోలు ఉన్నాయి, అవి ఇంకా అధికారికంగా ప్రసారం కాలేదు. వాటిని మ్యాప్‌లో ఉంచిన మరో అప్రసిద్ధ APT35 ప్రచారం US వైమానిక దళం ఫిరాయింపుదారుని కూడా కలిగి ఉంది. ప్రశ్నలోని వ్యక్తి క్లాసిఫైడ్ ప్రభుత్వ డేటాను యాక్సెస్ చేయడంలో APT35కి సహాయం చేసారు. 2018లో, APT35 సమూహం చట్టబద్ధమైన ఇజ్రాయెలీ సైబర్‌ సెక్యూరిటీ కంపెనీని అనుకరించే వెబ్‌సైట్‌ను రూపొందించింది. ఒకే ఒక్క తేడా ఏమిటంటే, నకిలీ వెబ్‌సైట్ కొద్దిగా మార్చబడిన డొమైన్ పేరును కలిగి ఉంది. ఈ ప్రచారం APT35 కంపెనీకి చెందిన కొంతమంది క్లయింట్‌ల లాగిన్ వివరాలను పొందడంలో సహాయపడింది. APT35తో కూడిన తాజా అప్రసిద్ధ ప్రచారం డిసెంబర్ 2018లో నిర్వహించబడింది. ఈ ఆపరేషన్‌లో, APT35 గ్రూప్ చార్మింగ్ కిట్టెన్ అలియాస్ కింద పనిచేసింది. ఈ ఆపరేషన్ ఆర్థిక ఆంక్షలు, అలాగే ఆ సమయంలో ఇరాన్‌పై విధించిన సైనిక ఆంక్షలపై ప్రభావం చూపిన వివిధ రాజకీయ కార్యకర్తలను లక్ష్యంగా చేసుకుంది. APT35 సమూహం వారి లక్ష్యాల ప్రకారం అదే రంగాలలో నిమగ్నమై ఉన్న ఉన్నత స్థాయి నిపుణులుగా ఉంది. దాడి చేసిన వ్యక్తులు నకిలీ జోడింపులను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌లను అలాగే బోగస్ సోషల్ మీడియా ప్రొఫైల్‌లను ఉపయోగించారు.

బోగస్ ఇంటర్వ్యూ ఇమెయిల్‌లతో ఫిషింగ్

టార్గెటెడ్ ఫిషింగ్ ప్రచారాలు చార్మింగ్ కిట్టెన్ యొక్క కార్యనిర్వహణలో భాగం, హ్యాకర్లు నకిలీ ఇమెయిల్‌లు మరియు సోషల్ ఇంజినీరింగ్‌ను అమలు పద్ధతులుగా ఉపయోగిస్తున్నారు. ఒక 2019 ప్రచారంలో, చార్మింగ్ కిట్టెన్ గ్రూప్ మాజీ వాల్ స్ట్రీట్ జర్నల్ (WSJ) జర్నలిస్టుల వలె నటించింది మరియు నకిలీ ఇంటర్వ్యూ దృశ్యంతో వారి ఉద్దేశించిన బాధితులను సంప్రదించింది. సమూహం సాధారణంగా ఇరానియన్ మరియు అంతర్జాతీయ వ్యవహారాలకు సంబంధించిన అంశాల చుట్టూ ''CNN ఇంటర్వ్యూ'' మరియు ''ఇన్విటేషన్ టు ఎ డ్యుయిష్ వెల్లే వెబ్నార్'' వంటి విభిన్న దృశ్యాలను ఉపయోగించి కూడా గుర్తించబడింది.

ఒక ప్రత్యేక సందర్భంలో, దాడి చేసిన వ్యక్తులు గతంలో వాల్ స్ట్రీట్ జర్నల్‌లో 17 సంవత్సరాలు పనిచేసిన న్యూయార్క్ టైమ్స్ జర్నలిస్ట్ అయిన ఫర్నాజ్ ఫాసిహి గుర్తింపును ఉపయోగించి అరబిక్‌లో నకిలీ ఇమెయిల్‌ను సృష్టించారు. ఆసక్తికరమైన విషయం ఏమిటంటే, హ్యాకర్లు ఫర్నాజ్ ఫాసిహిని ఆమె మాజీ యజమాని ది వాల్ స్ట్రీట్ జర్నల్‌లో పనిచేస్తున్నట్లు అందించారు.

నకిలీ ఇంటర్వ్యూ అభ్యర్థన ఇమెయిల్ - మూలం: blog.certfa.com

ఇమెయిల్ అనువాదం:

హలో *** ***** ******
నా పేరు ఫర్నాజ్ ఫసిహి. నేను వాల్ స్ట్రీట్ జర్నల్ వార్తాపత్రికలో జర్నలిస్టుని.
WSJ యొక్క మిడిల్ ఈస్ట్ బృందం అభివృద్ధి చెందిన దేశాలలో విజయవంతమైన స్థానికేతర వ్యక్తులను పరిచయం చేయాలని భావిస్తోంది. పరిశోధన మరియు సైన్స్ ఫిలాసఫీ రంగాలలో మీ కార్యకలాపాలు మిమ్మల్ని విజయవంతమైన ఇరానియన్‌గా పరిచయం చేయడానికి నన్ను నడిపించాయి. మిడిల్ ఈస్ట్ టీమ్ డైరెక్టర్ మీతో ఒక ఇంటర్వ్యూని సెటప్ చేయాలని మరియు మీరు సాధించిన కొన్ని ముఖ్యమైన విజయాలను మా ప్రేక్షకులతో పంచుకోవాలని మమ్మల్ని కోరారు. ఈ ఇంటర్వ్యూ మన ప్రియమైన దేశంలోని యువత తమ ప్రతిభను కనుగొని విజయం వైపు పయనించేలా ప్రేరేపించగలదు.
ఈ ఇంటర్వ్యూ నాకు వ్యక్తిగతంగా గొప్ప గౌరవమని ప్రత్యేకంగా చెప్పనవసరం లేదు మరియు ఇంటర్వ్యూకి నా ఆహ్వానాన్ని అంగీకరించమని నేను మిమ్మల్ని కోరుతున్నాను.
ప్రశ్నలు నా సహోద్యోగుల బృందం వృత్తిపరంగా రూపొందించబడ్డాయి మరియు ఫలితంగా వచ్చే ఇంటర్వ్యూ WSJ యొక్క వీక్లీ ఇంటర్వ్యూ విభాగంలో ప్రచురించబడుతుంది. మీరు అంగీకరించిన వెంటనే ఇంటర్వ్యూకి సంబంధించిన ప్రశ్నలు మరియు అవసరాలను నేను మీకు పంపుతాను.
*ఫుట్‌నోట్: నాన్-లోకల్ అంటే ఇతర దేశాలలో పుట్టిన వారిని సూచిస్తుంది.
మీ దయ మరియు శ్రద్ధకు ధన్యవాదాలు.
ఫర్నాజ్ ఫసిహి

ఇమెయిల్‌లలో ఉన్న అన్ని లింక్‌లు సంక్షిప్త URL ఆకృతిలో ఉన్నాయి, హ్యాకర్‌లు తమ బాధితురాలిని చట్టబద్ధమైన చిరునామాలకు మార్గనిర్దేశం చేసేందుకు ఉపయోగించారు, అదే సమయంలో ఆపరేటింగ్ సిస్టమ్, బ్రౌజర్ మరియు IP చిరునామా వంటి వారి పరికరాల గురించి అవసరమైన సమాచారాన్ని సేకరిస్తారు. వారి లక్ష్యాలపై ప్రధాన దాడికి సన్నాహకంగా హ్యాకర్ల నుండి ఈ సమాచారం అవసరం.

Google సైట్‌లలో హోస్ట్ చేయబడిన నకిలీ WSJ పేజీ యొక్క నమూనా - మూలం: blog.certfa.com

ఉద్దేశించిన లక్ష్యంతో సాపేక్ష విశ్వాసాన్ని ఏర్పరచుకున్న తర్వాత, హ్యాకర్లు వారికి ఒక ప్రత్యేకమైన లింక్‌ను పంపుతారు, అందులో ఆరోపించిన ఇంటర్వ్యూ ప్రశ్నలు ఉంటాయి. ఫార్సీలోని కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ (CERTFA) పరీక్షించిన నమూనాల ప్రకారం, దాడి చేసే వ్యక్తులు సాపేక్షంగా కొత్త పద్ధతిని ఉపయోగిస్తున్నారు, ఇది Google సైట్‌లలో పేజీలను హోస్ట్ చేస్తూ గత సంవత్సరంలో ఫిషర్‌లతో చాలా ప్రజాదరణ పొందింది.

బాధితుడు Google సైట్ పేజీలోని ''డౌన్‌లోడ్'' బటన్‌ను క్లిక్ చేసిన తర్వాత, వారు మరొక నకిలీ పేజీకి దారి మళ్లించబడతారు, అది Modlishka వంటి ఫిషింగ్ కిట్‌లను ఉపయోగించి వారి ఇమెయిల్ చిరునామా మరియు వారి రెండు-కారకాల ప్రమాణీకరణ కోడ్ కోసం లాగిన్ ఆధారాలను సేకరించేందుకు ప్రయత్నిస్తుంది.

APT35 యొక్క డౌన్‌పేపర్ మాల్వేర్

డౌన్‌పేపర్ సాధనం బ్యాక్‌డోర్ ట్రోజన్, ఇది ఎక్కువగా మొదటి-దశ పేలోడ్‌గా ఉపయోగించబడుతుంది మరియు వీటికి సామర్థ్యాలను కలిగి ఉంటుంది:

• దాడి చేసేవారి C&C (కమాండ్ & కంట్రోల్) సర్వర్‌తో కనెక్షన్‌ని ఏర్పరుచుకోండి మరియు కమాండ్‌లు మరియు హానికరమైన పేలోడ్‌లను స్వీకరించండి, వీటిని చొరబడిన హోస్ట్‌లో అమలు చేయాలి.
• విండోస్ రిజిస్ట్రీని ట్యాంపరింగ్ చేయడం ద్వారా పట్టుదలను పొందండి.
• హార్డ్‌వేర్ మరియు సాఫ్ట్‌వేర్ డేటా వంటి రాజీపడిన సిస్టమ్ గురించి సమాచారాన్ని సేకరించండి.
• CMD మరియు PowerShell ఆదేశాలను అమలు చేయండి.

APT35 హ్యాకింగ్ సమూహం అనేది చాలా నిరంతర వ్యక్తుల సమూహం, మరియు వారు ఎప్పుడైనా తమ కార్యకలాపాలను నిలిపివేయాలని ప్లాన్ చేసే అవకాశం లేదు. ఇరాన్ చుట్టూ రాజకీయ వాతావరణం కొంతకాలంగా వేడెక్కుతున్నదని గుర్తుంచుకోండి, భవిష్యత్తులో APT35 సమూహం యొక్క ప్రచారాల గురించి మనం వినే అవకాశం ఉంది.

మే 10, 2020న అప్‌డేట్ చేయండి - APT35 COVID-19 హ్యాకింగ్ ప్రచారంలో పాలుపంచుకుంది

COVID-19 పరిశోధనలో పాల్గొన్న గిలియడ్ సైన్సెస్ ఇంక్ కాలిఫోర్నియా ఆధారిత డ్రగ్ కంపెనీపై ఏప్రిల్ సైబర్-దాడి వెనుక ఇతర పేర్లతో పాటు చార్మింగ్ కిట్టెన్ అని పిలువబడే ఇరానియన్ హ్యాకింగ్ గ్రూప్ ఉందని సైబర్ సెక్యూరిటీ నిపుణులు సమీక్షించిన పబ్లిక్‌గా అందుబాటులో ఉన్న వెబ్ ఆర్కైవ్‌ల సమితి వెల్లడించింది.

భద్రతా పరిశోధకుల దృష్టికి వచ్చిన ఒక సందర్భంలో, హ్యాకర్లు ఒక నకిలీ ఇమెయిల్ లాగిన్ పేజీని ఉపయోగించారు, ఇది కార్పొరేట్ మరియు చట్టపరమైన వ్యవహారాలలో పాల్గొన్న ఒక అగ్ర గిలియడ్ ఎగ్జిక్యూటివ్ నుండి పాస్‌వర్డ్‌లను దొంగిలించడానికి ప్రత్యేకంగా రూపొందించబడింది. హానికరమైన కార్యాచరణ కోసం వెబ్ చిరునామాలను స్కాన్ చేయడానికి ఉపయోగించే వెబ్‌సైట్‌లో దాడి కనుగొనబడింది, అయితే అది విజయవంతమైందో లేదో పరిశోధకులు గుర్తించలేకపోయారు.

ట్రెండింగ్ APT హ్యాకర్ సమూహాల చార్ట్ - మూలం: Securitystack.co

దాడిని పరిశోధించిన విశ్లేషకులలో ఒకరు ఇజ్రాయెల్ సైబర్ సెక్యూరిటీ సంస్థ క్లియర్‌స్కీకి చెందిన ఓహాద్ జైడెన్‌బర్గ్. గిలియడ్‌పై ఏప్రిల్‌లో జరిగిన దాడి, జర్నలిస్టు విచారణను అనుకరించే సందేశంతో కార్పొరేట్ ఇమెయిల్ ఖాతాలను రాజీ చేసే ప్రయత్నమని ఆయన వ్యాఖ్యానించారు. బహిరంగంగా వ్యాఖ్యానించడానికి అధికారం లేని ఇతర విశ్లేషకులు, ఆ దాడిలో గతంలో చార్మింగ్ కిట్టెన్ అని పిలువబడే ఇరానియన్ హ్యాకింగ్ గ్రూప్ ఉపయోగించిన డొమైన్‌లు మరియు సర్వర్‌లను ఉపయోగించినట్లు ధృవీకరించారు.

ఐక్యరాజ్యసమితిలో ఇరాన్ యొక్క దౌత్య మిషన్ అటువంటి దాడులలో ఎటువంటి ప్రమేయం లేదని ఖండించింది, ప్రతినిధి అలీరెజా మిర్యోసెఫీ "ఇరాన్ ప్రభుత్వం సైబర్ యుద్ధంలో పాల్గొనదు" అని పేర్కొన్నాడు, "ఇరాన్ నిమగ్నమయ్యే సైబర్ కార్యకలాపాలు పూర్తిగా రక్షణాత్మకమైనవి మరియు తదుపరి దాడుల నుండి రక్షించబడతాయి. ఇరానియన్ మౌలిక సదుపాయాలు."

ఇటీవలి ఇరానియన్ సైబర్ ప్రచారాలలో లక్ష్యంగా చేసుకున్న దేశాలు - మూలం: Stratfor.com

గిలియడ్ సైబర్ సెక్యూరిటీ విషయాల గురించి చర్చించడంలో కంపెనీ విధానాన్ని అనుసరించింది మరియు వ్యాఖ్యానించడానికి నిరాకరించింది. కోవిడ్-19 సోకిన రోగులకు సహాయం చేయడానికి ప్రస్తుతం నిరూపించబడిన ఏకైక చికిత్స ఇది యాంటీవైరల్ డ్రగ్ రెమ్‌డెసివిర్ తయారీదారు కాబట్టి కంపెనీ ఇటీవల చాలా దృష్టిని ఆకర్షించింది. ప్రాణాంతక వ్యాధికి చికిత్స కోసం పరిశోధన మరియు అభివృద్ధికి నాయకత్వం వహించే సంస్థలలో గిలియడ్ కూడా ఒకటి, ఇది మేధస్సు-సేకరణ ప్రయత్నాలకు ప్రధాన లక్ష్యంగా ఉంది.