APT35

APT35 คำอธิบาย

รูกลุ่มแฮเกอร์ apt35 APT35 (Advanced Persistent Threat) คือกลุ่มแฮ็คที่เชื่อว่ามาจากอิหร่าน กลุ่มแฮ็คนี้เป็นที่รู้จักภายใต้นามแฝงอื่นๆ – Newscaster Team, Phosphorus, Charming Kitten และ Ajax Security Team กลุ่มแฮ็กเกอร์ APT35 มักเกี่ยวข้องกับแคมเปญที่มีแรงจูงใจทางการเมือง เช่นเดียวกับแคมเปญที่มีแรงจูงใจทางการเงิน กลุ่มแฮ็กเกอร์ APT35 มีแนวโน้มที่จะมุ่งความสนใจไปที่ผู้มีส่วนเกี่ยวข้องในการเคลื่อนไหวเพื่อสิทธิมนุษยชน องค์กรสื่อต่างๆ และภาควิชาการเป็นหลัก แคมเปญส่วนใหญ่ดำเนินการในสหรัฐอเมริกา อิสราเอล อิหร่าน และสหราชอาณาจักร

แคมเปญ APT35 ยอดนิยม

หนึ่งในการดำเนินการของ APT35 ที่โด่งดังที่สุดคือการดำเนินการกับ HBO ที่เกิดขึ้นในปี 2560 ในนั้น APT35 ได้รั่วไหลของข้อมูลมากกว่า 1TB ซึ่งประกอบด้วยรายละเอียดส่วนตัวของพนักงานและการแสดงซึ่งยังไม่ได้ออกอากาศอย่างเป็นทางการ อีกแคมเปญหนึ่งที่น่าอับอายของ APT35 ที่วางไว้บนแผนที่คือแคมเปญที่เกี่ยวข้องกับผู้แปรพักตร์กองทัพอากาศสหรัฐฯ บุคคลดังกล่าวช่วย APT35 ในการเข้าถึงข้อมูลลับของรัฐบาล ในปี 2018 กลุ่ม APT35 ได้สร้างเว็บไซต์ที่มีวัตถุประสงค์เพื่อเลียนแบบบริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอลที่ถูกกฎหมาย ข้อแตกต่างเพียงอย่างเดียวคือเว็บไซต์ปลอมมีชื่อโดเมนที่เปลี่ยนแปลงเล็กน้อย แคมเปญนี้ช่วยให้ APT35 ได้รับรายละเอียดการเข้าสู่ระบบของลูกค้าของบริษัทบางราย แคมเปญที่น่าอับอายล่าสุดที่เกี่ยวข้องกับ APT35 ได้ดำเนินการในเดือนธันวาคม 2018 ในการดำเนินการนี้ กลุ่ม APT35 ดำเนินการภายใต้นามแฝง Charming Kitten การดำเนินการนี้มุ่งเป้าไปที่นักเคลื่อนไหวทางการเมืองหลายคนที่มีอิทธิพลในการคว่ำบาตรทางเศรษฐกิจ เช่นเดียวกับการคว่ำบาตรทางทหารต่ออิหร่านในขณะนั้น กลุ่ม APT35 ระบุว่าเป็นผู้เชี่ยวชาญระดับสูงที่เกี่ยวข้องในสาขาเดียวกันกับเป้าหมาย ผู้โจมตีใช้อีเมลฟิชชิ่งที่ปรับแต่งแล้วซึ่งมีไฟล์แนบปลอม รวมถึงโปรไฟล์โซเชียลมีเดียปลอม

ฟิชชิ่งด้วยอีเมลสัมภาษณ์ปลอม

แคมเปญฟิชชิ่งแบบกำหนดเป้าหมายเป็นส่วนหนึ่งของวิธีดำเนินการของ Charming Kitten โดยแฮกเกอร์ใช้อีเมลปลอมและวิศวกรรมโซเชียลเป็นวิธีการดำเนินการ ในแคมเปญหนึ่งในปี 2019 กลุ่ม Charming Kitten ได้ปลอมตัวเป็นอดีตนักข่าว Wall Street Journal (WSJ) และเข้าหาเหยื่อที่ตั้งใจไว้ด้วยสถานการณ์สัมภาษณ์ปลอม กลุ่มนี้ยังถูกพบโดยใช้สถานการณ์ที่แตกต่างกัน เช่น ''สัมภาษณ์ CNN'' และ ''คำเชิญเข้าร่วมการสัมมนาผ่านเว็บของ Deutsche Welle'' ซึ่งมักจะเกี่ยวกับหัวข้อของกิจการอิหร่านและกิจการระหว่างประเทศ

ในกรณีพิเศษ ผู้โจมตีได้สร้างอีเมลปลอมเป็นภาษาอาหรับ โดยใช้ข้อมูลประจำตัวของ Farnaz Fassihi ซึ่งปัจจุบันเป็นนักข่าวของ New York Times ซึ่งเคยทำงานให้กับ The Wall Street Journal มา 17 ปีแล้ว ที่น่าสนใจคือแฮ็กเกอร์นำเสนอ Farnaz Fassihi ว่าทำงานให้กับ The Wall Street Journal นายจ้างเก่าของเธอ


อีเมลคำขอสัมภาษณ์ปลอม - ที่มา: blog.certfa.com

การแปลอีเมล:

สวัสดี *** ***** ******
ฉันชื่อฟาร์นาซ ฟาซิฮี ฉันเป็นนักข่าวที่หนังสือพิมพ์วอลล์สตรีทเจอร์นัล
ทีมตะวันออกกลางของ WSJ ตั้งใจที่จะแนะนำบุคคลที่ไม่ใช่คนท้องถิ่นที่ประสบความสำเร็จในประเทศที่พัฒนาแล้ว กิจกรรมของคุณในด้านการวิจัยและปรัชญาวิทยาศาสตร์ทำให้ฉันแนะนำคุณในฐานะชาวอิหร่านที่ประสบความสำเร็จ ผู้อำนวยการทีมตะวันออกกลางขอให้เราสัมภาษณ์คุณและแบ่งปันความสำเร็จที่สำคัญของคุณกับผู้ชมของเรา บทสัมภาษณ์นี้สามารถกระตุ้นให้เยาวชนในประเทศที่เรารักค้นพบความสามารถและก้าวไปสู่ความสำเร็จ
ไม่จำเป็นต้องพูดว่า การสัมภาษณ์นี้เป็นเกียรติอย่างยิ่งสำหรับฉันเป็นการส่วนตัว และฉันขอให้คุณยอมรับคำเชิญของฉันสำหรับการสัมภาษณ์
คำถามได้รับการออกแบบอย่างมืออาชีพโดยกลุ่มเพื่อนร่วมงานของฉัน และการสัมภาษณ์ที่ได้จะเผยแพร่ในส่วนบทสัมภาษณ์ประจำสัปดาห์ของ WSJ ฉันจะส่งคำถามและข้อกำหนดของการสัมภาษณ์ไปให้คุณทันทีที่คุณยอมรับ
*เชิงอรรถ: คนนอก หมายถึงผู้ที่เกิดในต่างประเทศ
ขอบคุณสำหรับความกรุณาและความสนใจของคุณ
Farnaz Fasihi

ลิงก์ทั้งหมดที่อยู่ในอีเมลอยู่ในรูปแบบ URL แบบสั้น ซึ่งแฮ็กเกอร์ใช้เพื่อนำทางเหยื่อไปยังที่อยู่ที่ถูกต้อง ในขณะที่รวบรวมข้อมูลที่จำเป็นเกี่ยวกับอุปกรณ์ของตน เช่น ระบบปฏิบัติการ เบราว์เซอร์ และที่อยู่ IP ข้อมูลนี้จำเป็นจากแฮกเกอร์เพื่อเตรียมพร้อมสำหรับการโจมตีหลักที่เป้าหมาย


ตัวอย่างหน้า WSJ ปลอมที่โฮสต์บน Google Sites - ที่มา: blog.certfa.com

หลังจากสร้างความไว้วางใจโดยสัมพันธ์กับเป้าหมายที่ตั้งใจไว้ แฮกเกอร์จะส่งลิงก์เฉพาะซึ่งกล่าวหาว่ามีคำถามในการสัมภาษณ์ จากตัวอย่างที่ทดสอบโดยทีมรับมือเหตุฉุกเฉินของคอมพิวเตอร์ในฟาร์ซี (CERTFA) ผู้โจมตีใช้วิธีการที่ค่อนข้างใหม่ ซึ่งได้รับความนิยมอย่างมากจากฟิชเชอร์ในปีที่ผ่านมา โดยโฮสต์เพจบน Google Sites

เมื่อเหยื่อคลิกปุ่ม "ดาวน์โหลด" ในหน้าเว็บไซต์ Google พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าปลอมอีกหน้าหนึ่งซึ่งจะพยายามรวบรวมข้อมูลรับรองการเข้าสู่ระบบสำหรับที่อยู่อีเมลและรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย โดยใช้ชุดฟิชชิ่งเช่น Modlishka

มัลแวร์ DownPaper ของ APT35

เครื่องมือ DownPaper คือโทรจันลับๆ ซึ่งส่วนใหญ่ใช้เป็นเพย์โหลดขั้นแรกและมีความสามารถที่จะ:

  • สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C&C (Command & Control) ของผู้โจมตี และรับคำสั่งและเพย์โหลดที่เป็นอันตราย ซึ่งจะถูกดำเนินการบนโฮสต์ที่ถูกแทรกซึม
  • ได้รับความคงอยู่โดยการแก้ไขรีจิสทรีของ Windows
  • รวบรวมข้อมูลเกี่ยวกับระบบที่ถูกบุกรุก เช่น ข้อมูลฮาร์ดแวร์และซอฟต์แวร์
  • ดำเนินการคำสั่ง CMD และ PowerShell

กลุ่มแฮ็ค APT35 เป็นกลุ่มบุคคลที่ไม่หยุดยั้ง และไม่น่าเป็นไปได้ที่พวกเขาวางแผนที่จะหยุดกิจกรรมในเร็ว ๆ นี้ พึงระลึกไว้เสมอว่าบรรยากาศทางการเมืองในอิหร่านเริ่มร้อนแรงมาระยะหนึ่งแล้ว มีแนวโน้มว่าเราจะได้ยินเกี่ยวกับแคมเปญของกลุ่ม APT35 ต่อไปในอนาคต

อัปเดต 10 พฤษภาคม 2020 - APT35 เกี่ยวข้องกับแคมเปญแฮ็ก COVID-19

ชุดของที่เก็บถาวรบนเว็บที่เปิดเผยต่อสาธารณะซึ่งตรวจสอบโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เปิดเผยว่ากลุ่มแฮ็คชาวอิหร่านที่รู้จักกันในชื่อ Charming Kitten อยู่เบื้องหลังการโจมตีทางไซเบอร์ในเดือนเมษายนกับบริษัทยา Gilead Sciences Inc ในแคลิฟอร์เนียที่เกี่ยวข้องกับการวิจัย COVID-19

ในกรณีหนึ่งที่นักวิจัยด้านความปลอดภัยพบแฮ็กเกอร์ใช้หน้าเข้าสู่ระบบอีเมลปลอมที่ออกแบบมาโดยเฉพาะเพื่อขโมยรหัสผ่านจากผู้บริหารระดับสูงของ Gilead ซึ่งเกี่ยวข้องกับองค์กรและกฎหมาย พบการโจมตีบนเว็บไซต์ที่ใช้ในการสแกนที่อยู่เว็บเพื่อหากิจกรรมที่เป็นอันตราย แต่นักวิจัยไม่สามารถระบุได้ว่าประสบความสำเร็จหรือไม่

แฮ็คกลุ่มแฮ็กเกอร์ที่สุดยอด
แผนภูมิกลุ่มแฮ็กเกอร์ APT ที่กำลังมาแรง - ที่มา: Securitystack.co

หนึ่งในนักวิเคราะห์ที่วิจัยการโจมตีคือ Ohad Zaidenberg จาก ClearSky บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล เขาให้ความเห็นว่าการโจมตีกิเลียดในเดือนเมษายนเป็นความพยายามที่จะประนีประนอมบัญชีอีเมลขององค์กรด้วยข้อความที่แอบอ้างเป็นนักข่าว นักวิเคราะห์คนอื่นๆ ซึ่งไม่ได้รับอนุญาตให้แสดงความคิดเห็นต่อสาธารณะ ได้ยืนยันว่าการโจมตีดังกล่าวใช้โดเมนและเซิร์ฟเวอร์ที่เคยถูกใช้โดยกลุ่มแฮ็คชาวอิหร่านที่รู้จักกันในชื่อ Charming Kitten

ภารกิจทางการทูตของอิหร่านประจำสหประชาชาติได้ปฏิเสธการ มีส่วนร่วมในการโจมตีดังกล่าว โดยโฆษก Alireza Miryousefi ระบุว่า "รัฐบาลอิหร่านไม่มีส่วนร่วมในสงครามไซเบอร์" และเสริมว่า "กิจกรรมทางไซเบอร์ที่อิหร่านทำนั้นเป็นการป้องกันอย่างหมดจดและเพื่อป้องกันการโจมตีเพิ่มเติม โครงสร้างพื้นฐานของอิหร่าน"

เป้าหมายกลุ่มเป้าหมายคือกลุ่มเป้าหมาย
ประเทศที่กำหนดเป้าหมายในแคมเปญไซเบอร์ของอิหร่านล่าสุด - ที่มา: Stratfor.com

Gilead ได้ปฏิบัติตามนโยบายของบริษัทเกี่ยวกับประเด็นด้านความปลอดภัยทางไซเบอร์และปฏิเสธที่จะแสดงความคิดเห็น บริษัทได้รับความสนใจอย่างมากเมื่อเร็วๆ นี้ เนื่องจากเป็นผู้ผลิตยาต้านไวรัสเรมเดซิเวียร์ ซึ่งปัจจุบันเป็นเพียงการรักษาที่พิสูจน์แล้วว่าสามารถช่วยเหลือผู้ป่วยที่ติดเชื้อโควิด-19 ได้ กิเลียดยังเป็นหนึ่งในบริษัทชั้นนำในการวิจัยและพัฒนาการรักษาโรคร้ายแรง ซึ่งทำให้เป้าหมายหลักสำหรับความพยายามในการรวบรวมข้อมูล