Charming Kitten APT

Charming Kitten APT

Charming Kitten หรือที่รู้จักในชื่อ APT35 เป็นภัยคุกคามแบบต่อเนื่องขั้นสูง ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่สงสัยว่ามีความสัมพันธ์กับอิหร่าน กลุ่มนี้ยังเป็นที่รู้จักภายใต้ชื่ออื่นๆ: ฟอสฟอรัส ทีมรักษาความปลอดภัย Ajax และทีมผู้ประกาศข่าว ลูกแมวที่มีเสน่ห์ได้รับการสังเกตว่ามีแคมเปญที่มีแรงจูงใจทางการเมือง แต่ก็มีแรงจูงใจจากเหตุผลทางการเงินด้วย พวกเขากำลังมุ่งเป้าไปที่นักเคลื่อนไหวด้านสิทธิมนุษยชน องค์กรสื่อ และภาควิชาการ แคมเปญส่วนใหญ่ของพวกเขาผลักดันให้มีการโจมตีสหราชอาณาจักร สหรัฐอเมริกา อิหร่าน และอิสราเอล

แคมเปญลูกแมวเจ้าเสน่ห์

หนึ่งในการดำเนินการที่กว้างขวางยิ่งขึ้นโดยกลุ่มแฮ็กเกอร์ได้ดำเนินการกับ HBO ในปี 2560 อาชญากรไซเบอร์รั่วไหลเกี่ยวกับข้อมูลขนาดเทราไบต์พร้อมข้อมูลส่วนบุคคลเกี่ยวกับพนักงานของบริษัท การแสดงที่กำลังจะมีขึ้น และอีกมากมาย การโจมตีอื่นๆ ที่แสดงโดย Charming Kitten หรือที่รู้จักในชื่อ APT35 รวมถึงการเข้าถึงข้อมูลโดยละเอียดผ่านผู้แปรพักตร์ของกองทัพอากาศสหรัฐฯ และการปลอมแปลงเว็บไซต์ของบริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอลเพื่อขโมยรายละเอียดการเข้าสู่ระบบ การโจมตีที่ผูกพวกเขาไว้กับอิหร่านเป็นปฏิบัติการในปี 2018 ที่มุ่งเป้าไปที่นักเคลื่อนไหวทางการเมืองที่มีอิทธิพลต่อการคว่ำบาตรต่อประเทศ นักปฏิบัติการลูกแมวที่มีเสน่ห์ใช้อีเมลฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตรายและวิศวกรรมโซเชียลเพื่อวางตัวเป็นมืออาชีพระดับสูง

มุมอิหร่านสำหรับลูกแมวที่มีเสน่ห์

แคมเปญฟิชชิ่งแบบกำหนดเป้าหมายเป็นส่วนหนึ่งของการดำเนินธุรกิจของ APT35 (Charming Kitten) ดังที่เห็นได้จากแคมเปญในปี 2019 ที่มุ่งเป้าไปที่การแอบอ้างเป็นอดีตนักข่าว Wall Street Journal พวกเขาใช้วิธีนี้เพื่อหลอกล่อเหยื่อด้วยคำมั่นว่าจะสัมภาษณ์หรือเชิญเข้าร่วมการสัมมนาทางเว็บ ซึ่งมักจะพูดถึงหัวข้อเกี่ยวกับกิจการของอิหร่านและกิจการระหว่างประเทศในขณะนั้น
หนึ่งในกรณีเหล่านี้ ผู้โจมตีได้เขียนอีเมลเป็นภาษาอาหรับภายใต้ข้อมูลประจำตัวปลอมที่เลียนแบบ Farnaz Fassihi ในชีวิตจริง ซึ่งเป็นอดีตพนักงานของ Wall Street Journal ซึ่งทำงานให้กับสื่อสิ่งพิมพ์ดังกล่าวมา 17 ปี เจ้าหน้าที่ดูแลลูกแมวเจ้าเสน่ห์ได้นำเสนอตัวตนปลอมนี้ว่ายังคงทำงานให้กับ WSJ

คำขอสัมภาษณ์ปลอม ที่มา: blog.certfa.com

เนื้อหาของอีเมลมีดังนี้:

สวัสดี *** ***** ******
ฉันชื่อฟาร์นาซ ฟาซิฮี ฉันเป็นนักข่าวที่หนังสือพิมพ์วอลล์สตรีทเจอร์นัล
ทีมตะวันออกกลางของ WSJ ตั้งใจที่จะแนะนำบุคคลที่ไม่ใช่คนท้องถิ่นที่ประสบความสำเร็จในประเทศที่พัฒนาแล้ว กิจกรรมของคุณในด้านการวิจัยและปรัชญาวิทยาศาสตร์ทำให้ฉันแนะนำคุณในฐานะชาวอิหร่านที่ประสบความสำเร็จ ผู้อำนวยการทีมตะวันออกกลางขอให้เราสัมภาษณ์คุณและแบ่งปันความสำเร็จที่สำคัญของคุณกับผู้ชมของเรา บทสัมภาษณ์นี้สามารถกระตุ้นให้เยาวชนในประเทศที่เรารักค้นพบความสามารถและก้าวไปสู่ความสำเร็จ
ไม่จำเป็นต้องพูดว่า การสัมภาษณ์นี้เป็นเกียรติอย่างยิ่งสำหรับฉันเป็นการส่วนตัว และฉันขอให้คุณยอมรับคำเชิญของฉันสำหรับการสัมภาษณ์
คำถามได้รับการออกแบบอย่างมืออาชีพโดยกลุ่มเพื่อนร่วมงานของฉัน และการสัมภาษณ์ที่ได้จะเผยแพร่ในส่วนบทสัมภาษณ์ประจำสัปดาห์ของ WSJ ฉันจะส่งคำถามและข้อกำหนดของการสัมภาษณ์ไปให้คุณทันทีที่คุณยอมรับ
*เชิงอรรถ: คนนอก หมายถึงผู้ที่เกิดในต่างประเทศ
ขอบคุณสำหรับความกรุณาและความสนใจของคุณ
Farnaz Fasihi

ลิงก์ภายในอีเมลอยู่ในรูปแบบ URL แบบสั้น ซึ่งมักใช้โดยผู้คุกคามเพื่อปิดบังลิงก์ที่ถูกต้องเบื้องหลัง โดยมุ่งเป้าไปที่การรวบรวมข้อมูลของที่อยู่ IP เบราว์เซอร์ และเวอร์ชันของระบบปฏิบัติการ และอื่นๆ ซึ่งช่วยปูทางไปสู่การโจมตีเพิ่มเติมด้วยการสร้างความไว้วางใจด้วยการสื่อสารซ้ำๆ และเตรียมพร้อมสำหรับช่วงเวลาที่จะลงมือ

เมื่อสร้างความไว้วางใจเมื่อเวลาผ่านไป แฮกเกอร์จะส่งลิงก์ที่มีคำถามสัมภาษณ์ที่ถูกกล่าวหา ตัวอย่าง Computer Emergency Response Team ใน Farsi (CERTFA) แสดงให้เห็นว่าผู้โจมตีกำลังใช้วิธีการที่ฟิชเชอร์ใช้ในช่วงไม่กี่ปีที่ผ่านมา โดยมีเพจที่โฮสต์บน Google Sites

เมื่อเหยื่อเปิดลิงก์ พวกเขาอาจถูกเปลี่ยนเส้นทางไปยังหน้าปลอมอื่นที่พยายามบันทึกข้อมูลรับรองการเข้าสู่ระบบและรหัสการตรวจสอบสิทธิ์แบบสองปัจจัยผ่านการใช้ชุดฟิชชิ่ง

สรุปปฏิบัติการลูกแมวเจ้าเสน่ห์

ในปี 2015 นักวิจัยค้นพบคลื่นลูกแรกของการโจมตีแบบฟิชชิ่ง โดยภายหลังการดำเนินการจารกรรมในขนาดมหึมาถูกค้นพบระหว่างปี 2016 ถึง 2017 โดยนักวิจัยที่ ClearSky ผู้ควบคุมลูกแมวมีเสน่ห์ใช้การแอบอ้างบุคคลอื่น การโจมตีด้วยหอกฟิชชิ่ง และหลุมรดน้ำ

ในปี 2018 อาชญากรไซเบอร์ใน Charming Kitten ได้ติดตาม ClearSky ด้วยเว็บไซต์หลอกลวงที่แอบอ้างเป็นพอร์ทัลของบริษัทรักษาความปลอดภัย มีการระบุการโจมตีเพิ่มเติมในปีนั้นกับเป้าหมายในตะวันออกกลางด้วยแคมเปญอีเมลปลอมและเว็บไซต์ปลอม

ในปี 2019 กิจกรรม Charming Kitten (APT35) ขยายตัวด้วยการกำหนดเป้าหมายไปยังผู้ที่ไม่ใช่ชาวอิหร่านในสหรัฐอเมริกา ตะวันออกกลาง และฝรั่งเศส โดยกำหนดเป้าหมายบุคคลสาธารณะภายนอกอสูรทางวิชาการที่พวกเขามุ่งหวังในตอนแรก พวกเขาเริ่มแนบตัวติดตามเข้ากับการติดต่อทางอีเมลเพื่อติดตามอีเมลที่ส่งต่อไปยังบัญชีอื่น โดยตั้งใจที่จะรับข้อมูลตำแหน่งทางภูมิศาสตร์

>>>อัปเดต 10 พฤษภาคม 2020 - APT35 (ลูกแมวมีเสน่ห์) เกี่ยวข้องกับแคมเปญแฮ็ก COVID-19

ชุดของที่เก็บถาวรบนเว็บที่เปิดเผยต่อสาธารณะซึ่งตรวจสอบโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เปิดเผยว่ากลุ่มแฮ็คชาวอิหร่านที่รู้จักกันในชื่อ Charming Kitten อยู่เบื้องหลังการโจมตีทางไซเบอร์ในเดือนเมษายนกับบริษัทยา Gilead Sciences Inc ในแคลิฟอร์เนียที่เกี่ยวข้องกับการวิจัย COVID-19

ในกรณีหนึ่งที่นักวิจัยด้านความปลอดภัยพบแฮ็กเกอร์ใช้หน้าเข้าสู่ระบบอีเมลปลอมที่ออกแบบมาโดยเฉพาะเพื่อขโมยรหัสผ่านจากผู้บริหารระดับสูงของ Gilead ซึ่งเกี่ยวข้องกับองค์กรและกฎหมาย พบการโจมตีบนเว็บไซต์ที่ใช้ในการสแกนที่อยู่เว็บเพื่อหากิจกรรมที่เป็นอันตราย แต่นักวิจัยไม่สามารถระบุได้ว่าประสบความสำเร็จหรือไม่
หนึ่งในนักวิเคราะห์ที่วิจัยการโจมตีคือ Ohad Zaidenberg จาก ClearSky บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล เขาให้ความเห็นว่าการโจมตีกิเลียดในเดือนเมษายนเป็นความพยายามที่จะประนีประนอมบัญชีอีเมลขององค์กรด้วยข้อความที่แอบอ้างเป็นนักข่าว นักวิเคราะห์คนอื่นๆ ซึ่งไม่ได้รับอนุญาตให้แสดงความคิดเห็นต่อสาธารณะ ได้ยืนยันว่าการโจมตีดังกล่าวใช้โดเมนและเซิร์ฟเวอร์ที่เคยถูกใช้โดยกลุ่มแฮ็คชาวอิหร่านที่รู้จักกันในชื่อ Charming Kitten

แฮ็คกลุ่มแฮ็กเกอร์ที่สุดยอด

แผนภูมิกลุ่มแฮ็กเกอร์ APT ที่กำลังมาแรง - ที่มา: Securitystack.co

ภารกิจทางการทูตของอิหร่านประจำสหประชาชาติได้ปฏิเสธการมีส่วนร่วมในการโจมตีดังกล่าว โดยโฆษก Alireza Miryousefi ระบุว่า "รัฐบาลอิหร่านไม่เข้าร่วมในสงครามไซเบอร์" และเสริมว่า "กิจกรรมทางไซเบอร์ที่อิหร่านทำนั้นเป็นการป้องกันอย่างหมดจดและเพื่อป้องกันการโจมตีเพิ่มเติม โครงสร้างพื้นฐานของอิหร่าน"

Gilead ได้ปฏิบัติตามนโยบายของบริษัทเกี่ยวกับประเด็นด้านความปลอดภัยทางไซเบอร์และปฏิเสธที่จะแสดงความคิดเห็น บริษัทได้รับความสนใจอย่างมากเมื่อเร็วๆ นี้ เนื่องจากเป็นผู้ผลิตยาต้านไวรัสเรมเดซิเวียร์ ซึ่งปัจจุบันเป็นวิธีการรักษาเดียวที่ได้รับการพิสูจน์แล้วว่าสามารถช่วยเหลือผู้ป่วยที่ติดเชื้อโควิด-19 กิเลียดยังเป็นหนึ่งในบริษัทชั้นนำในการวิจัยและพัฒนาการรักษาโรคร้ายแรง ซึ่งทำให้เป้าหมายหลักสำหรับความพยายามในการรวบรวมข้อมูล

Trending

Loading...