APT35

Ang APT35 (Advanced Persistent Threat) ay isang hacking group na pinaniniwalaang nagmula sa Iran. Ang pangkat ng pag-hack na ito ay kilala rin sa ilalim ng ilang iba pang mga alias – Newscaster Team, Phosphorus, Charming Kitten at Ajax Security Team. Ang grupong pangha-hack ng APT35 ay karaniwang kasangkot sa parehong mga kampanyang may motibasyon sa pulitika, gayundin sa mga kampanyang may motibasyon sa pananalapi. Ang APT35 hacking group ay may posibilidad na ituon ang kanilang mga pagsisikap laban sa mga aktor na sangkot sa human rights activism, iba't ibang organisasyon ng media, at ang sektor ng akademya pangunahin. Karamihan sa mga kampanya ay isinasagawa sa Estados Unidos, Israel, Iran at United Kingdom.

Mga sikat na APT35 Campaign

Ang isa sa pinakakilalang operasyon ng APT35 ay ang isinagawa laban sa HBO na naganap noong 2017. Dito, nag-leak ang APT35 ng mahigit 1TB ng data, na binubuo ng mga personal na detalye at palabas ng staff, na hindi pa opisyal na ipapalabas. Ang isa pang kasumpa-sumpa na kampanyang APT35 na naglagay sa kanila sa mapa ay ang nagsasangkot din ng isang defector ng US Air Force. Tinulungan ng indibidwal na pinag-uusapan ang APT35 sa pagkuha ng access sa classified government data. Noong 2018, ang grupong APT35 ay bumuo ng isang website na nilalayong gayahin ang isang lehitimong Israeli cybersecurity company. Ang pagkakaiba lang ay ang pekeng website ay may bahagyang binagong domain name. Nakatulong ang campaign na ito sa APT35 na makuha ang mga detalye sa pag-log in ng ilan sa mga kliyente ng kumpanya. Ang pinakahuling nakakahiyang kampanya na kinasasangkutan ng APT35 ay isinagawa noong Disyembre 2018. Sa operasyong ito, ang grupong APT35 ay nag-operate sa ilalim ng alyas na Charming Kitten. Ang operasyong ito ay naka-target sa iba't ibang mga aktibistang pampulitika na may impluwensya sa mga parusang pang-ekonomiya, pati na rin ang mga parusang militar na inilagay sa Iran noong panahong iyon. Ang grupong APT35 ay nagpanggap bilang mga propesyonal na may mataas na ranggo na kasangkot sa parehong mga larangan bilang kanilang mga target. Gumamit ang mga umaatake ng pinasadyang mga email sa phishing na may mga pekeng attachment, pati na rin ang mga huwad na profile sa social media.

Phishing Gamit ang Bogus Interview Emails

Ang mga naka-target na kampanya sa phishing ay bahagi ng modus operandi ni Charming Kitten, kung saan ang mga hacker ay gumagamit ng mga pekeng email at social engineering bilang mga paraan ng pagpapatupad. Sa isang kampanya noong 2019, ginaya ng grupong Charming Kitten ang mga dating mamamahayag sa Wall Street Journal (WSJ) at nilapitan ang mga nilalayong biktima ng isang pekeng senaryo ng panayam. Nakita rin ang grupo na gumagamit ng iba't ibang mga sitwasyon, tulad ng ''CNN Interview'' at ''Invitation to a Deutsche Welle Webinar'', kadalasan ay tungkol sa mga paksa ng Iranian at international affairs.

Sa isang partikular na kaso, ang mga umaatake ay lumikha ng isang pekeng email sa Arabic, gamit ang pagkakakilanlan ni Farnaz Fassihi, kasalukuyang mamamahayag ng New York Times, na dating nagtrabaho para sa The Wall Street Journal sa loob ng 17 taon. Kawili-wili, ipinakita ng mga hacker si Farnaz Fassihi bilang nagtatrabaho para sa kanyang dating amo, ang The Wall Street Journal.

Pekeng email ng kahilingan sa panayam - Pinagmulan: blog.certfa.com

Pagsasalin sa email:

Kamusta *** ***** ******
Ang pangalan ko ay Farnaz Fasihi. Ako ay isang mamamahayag sa pahayagang Wall Street Journal.
Ang pangkat ng Gitnang Silangan ng WSJ ay naglalayon na ipakilala ang mga matagumpay na hindi lokal na indibidwal sa mga mauunlad na bansa. Ang iyong mga aktibidad sa larangan ng pananaliksik at pilosopiya ng agham ay humantong sa akin na ipakilala ka bilang isang matagumpay na Iranian. Hiniling sa amin ng direktor ng pangkat ng Middle East na mag-set up ng isang pakikipanayam sa iyo at ibahagi ang ilan sa iyong mahahalagang tagumpay sa aming madla. Ang panayam na ito ay maaaring mag-udyok sa mga kabataan ng ating minamahal na bansa na tuklasin ang kanilang mga talento at sumulong sa tagumpay.
Hindi na kailangang sabihin, ang panayam na ito ay isang malaking karangalan para sa akin nang personal, at hinihimok ko kayong tanggapin ang aking imbitasyon para sa panayam.
Ang mga tanong ay propesyonal na idinisenyo ng isang grupo ng aking mga kasamahan at ang magreresultang panayam ay ilalathala sa Lingguhang Panayam na seksyon ng WSJ. Ipapadala ko sa iyo ang mga tanong at kinakailangan ng panayam sa sandaling tanggapin mo.
*Talababa: Ang hindi lokal ay tumutukoy sa mga taong ipinanganak sa ibang bansa.
Salamat sa iyong kabaitan at atensyon.
Farnaz Fasihi

Ang lahat ng mga link na nakapaloob sa mga email ay nasa pinaikling format ng URL, na ginamit ng mga hacker upang gabayan ang kanilang biktima sa mga lehitimong address, habang nangangalap ng mahahalagang impormasyon tungkol sa kanilang mga device, tulad ng operating system, browser, at IP address. Ang impormasyong ito ay kailangan mula sa mga hacker bilang paghahanda para sa pangunahing pag-atake sa kanilang mga target.

Sample ng pekeng WSJ page na naka-host sa Google Sites - Source: blog.certfa.com

Pagkatapos magtatag ng kamag-anak na tiwala sa nilalayong target, ang mga hacker ay magpapadala sa kanila ng isang natatanging link, na di-umano'y naglalaman ng mga tanong sa panayam. Ayon sa mga sample na sinuri ng Computer Emergency Response Team sa Farsi (CERTFA), ang mga umaatake ay gumagamit ng medyo bagong paraan na nakakuha ng maraming katanyagan sa mga phisher sa nakalipas na taon, na nagho-host ng mga page sa Google Sites.

Kapag na-click ng biktima ang button na ''I-download'' sa pahina ng Google Site, ire-redirect sila sa isa pang pekeng pahina na susubukang kunin ang mga kredensyal sa pag-log in para sa kanilang email address at kanilang two-factor authentication code, gamit ang mga phishing kit tulad ng Modlishka.

Ang DownPaper Malware ng APT35

Ang DownPaper tool ay isang backdoor Trojan, na kadalasang ginagamit bilang first-stage payload at may mga kakayahan na:

• Magtatag ng koneksyon sa server ng C&C (Command & Control) ng attacker at tumanggap ng mga command at mapaminsalang payload, na isasagawa sa na-infiltrate na host.
• Makakuha ng pagpupursige sa pamamagitan ng pakikialam sa Windows Registry.
• Mangalap ng impormasyon tungkol sa nakompromisong system, gaya ng data ng hardware at software.
• Isagawa ang mga utos ng CMD at PowerShell.

Ang pangkat ng pag-hack ng APT35 ay isang napaka-persistent na grupo ng mga indibidwal, at malamang na hindi nila planong ihinto ang kanilang mga aktibidad anumang oras sa lalong madaling panahon. Sa pag-iisip na ang klima sa pulitika sa paligid ng Iran ay umiinit nang ilang sandali, malamang na patuloy nating maririnig ang tungkol sa mga kampanya ng grupong APT35 sa hinaharap.

Update sa ika-10 ng Mayo, 2020 - APT35 na Kasangkot Sa COVID-19 Hacking Campaign

Ang isang hanay ng mga pampublikong available na web archive na sinuri ng mga eksperto sa cybersecurity ay nagsiwalat na ang Iranian hacking group na kilala bilang Charming Kitten, bukod sa iba pang mga pangalan, ang nasa likod ng isang cyber-attack noong Abril laban sa kumpanya ng gamot na nakabase sa Gilead Sciences Inc na sangkot sa pananaliksik sa COVID-19.

Sa isa sa mga pagkakataong nakita ng mga mananaliksik sa seguridad, ang mga hacker ay gumamit ng isang huwad na email login page na partikular na idinisenyo upang magnakaw ng mga password mula sa isang nangungunang executive ng Gilead, na kasangkot sa corporate at legal na mga gawain. Ang pag-atake ay natagpuan sa isang website na ginagamit upang i-scan ang mga web address para sa malisyosong aktibidad, ngunit hindi natukoy ng mga mananaliksik kung ito ay matagumpay.

Trending APT Hacker Groups Chart - Pinagmulan: Securitystack.co

Isa sa mga analyst na nagsaliksik sa pag-atake ay si Ohad Zaidenberg mula sa Israeli cybersecurity firm na ClearSky. Nagkomento siya na ang pag-atake ng Abril laban sa Gilead ay isang pagsisikap na ikompromiso ang mga corporate email account sa isang mensahe na nagpapanggap bilang isang pagtatanong ng mamamahayag. Kinumpirma ng iba pang analyst, na hindi pinahintulutang magkomento sa publiko na ang pag-atake ay gumamit ng mga domain at server na dating ginamit ng Iranian hacking group na kilala bilang Charming Kitten.

Ang diplomatikong misyon ng Iran sa United Nations ay tinanggihan ang anumang pagkakasangkot sa naturang mga pag-atake , kung saan ang tagapagsalita na si Alireza Miryousefi ay nagsabi na "Ang gobyerno ng Iran ay hindi nakikibahagi sa digmaang cyber," idinagdag na "Ang mga aktibidad sa cyber na ginagawa ng Iran ay purong nagtatanggol at upang maprotektahan laban sa karagdagang pag-atake sa imprastraktura ng Iran."

Mga Bansang Naka-target sa Kamakailang Iranian Cyber Campaigns - Source: Stratfor.com

Sinunod ng Gilead ang patakaran ng kumpanya sa pagtalakay sa mga usapin sa cybersecurity at tumanggi na magkomento. Ang kumpanya ay nakatanggap ng maraming pansin kamakailan, dahil ito ang gumagawa ng antiviral na gamot na remdesivir, na sa kasalukuyan ay ang tanging paggamot na napatunayang makakatulong sa mga pasyenteng nahawaan ng COVID-19. Isa rin ang Gilead sa mga kumpanyang nangunguna sa pagsasaliksik at pagpapaunlad ng isang paggamot para sa nakamamatay na sakit, na ginagawa itong pangunahing target para sa mga pagsisikap sa pangangalap ng katalinuhan.