Kaakit-akit na Kuting APT
Ang Charming Kitten, na kilala rin bilang APT35 , ay isang advanced na patuloy na pagbabanta, isang grupo ng hacker na may pinaghihinalaang relasyon sa Iran. Ang grupo ay kilala rin sa ilalim ng iba pang mga pangalan: Phosphorus, Ajax Security Team, at Newscaster Team. Ang kaakit-akit na Kuting ay naobserbahang may mga kampanyang may motibasyon sa pulitika, ngunit mayroon ding mga naudyukan ng mga pinansiyal na dahilan. Nilalayon nila ang mga aktibista ng karapatang pantao, mga organisasyon ng media, at sektor ng akademya. Ang karamihan sa kanilang mga kampanya ay nagtutulak ng mga pag-atake sa United Kingdom, United States, Iran, at Israel.
Talaan ng mga Nilalaman
Mga Kampanya sa Kaakit-akit na Kuting
Isa sa mga mas malawak na operasyong isinagawa ng grupo ng hacker ay isinagawa laban sa HBO noong 2017. Ang mga cybercriminal ay nag-leak ng tungkol sa isang terabyte ng data na may personal na impormasyon sa kawani ng kumpanya, mga paparating na palabas, at higit pa. Kasama sa iba pang mga pag-atake na isinagawa ni Charming Kitten, aka APT35 ang pag-access sa detalyadong data sa pamamagitan ng isang defector ng US Air Force at panggagaya sa website ng isang Israeli cybersecurity company para magnakaw ng mga detalye sa pag-log in. Ang pag-atake na nagtali sa kanila sa Iran ay isang operasyon noong 2018 na naglalayon sa mga aktibistang pulitikal na nakaimpluwensya sa mga parusa na naglalayong laban sa bansa. Gumamit ang mga operatiba ng Charming Kitten ng mga email sa phishing na may mga nakakahamak na attachment at social engineering upang magpanggap bilang mga propesyonal na may mataas na ranggo.
Ang Anggulo ng Iran para sa Kaakit-akit na Kuting
Ang mga naka-target na kampanya sa phishing ay bahagi ng paraan ng pagnenegosyo ng APT35 (Charming Kitten), gaya ng makikita sa kanilang kampanya noong 2019 na naglalayong gayahin ang mga dating mamamahayag ng Wall Street Journal. Ginamit nila ang pamamaraang iyon upang isubsob ang kanilang mga kuko sa kanilang mga biktima sa pangako ng mga panayam o mga imbitasyon sa mga webinar, kadalasan sa mga paksa ng Iranian at internasyonal na mga gawain sa panahong iyon.
Sa isa sa mga kasong ito, ang mga umaatake ay gumawa ng isang email sa Arabic sa ilalim ng pekeng pagkakakilanlan na ginagaya ang totoong buhay na si Farnaz Fassihi, isang dating empleyado ng Wall Street Journal na may 17 taong nagtatrabaho para sa publikasyon. Iniharap ng mga operatiba ng Charming Kitten ang pekeng katauhan na ito na nagtatrabaho pa rin sa WSJ.
Pekeng kahilingan sa panayam. Pinagmulan: blog.certfa.com
Ang mga nilalaman ng email ay ang mga sumusunod:
Kamusta *** ***** ******
Ang pangalan ko ay Farnaz Fasihi. Ako ay isang mamamahayag sa pahayagang Wall Street Journal.
Ang pangkat ng Gitnang Silangan ng WSJ ay naglalayon na ipakilala ang mga matagumpay na hindi lokal na indibidwal sa mga mauunlad na bansa. Ang iyong mga aktibidad sa larangan ng pananaliksik at pilosopiya ng agham ay humantong sa akin na ipakilala ka bilang isang matagumpay na Iranian. Hiniling sa amin ng direktor ng pangkat ng Middle East na mag-set up ng isang pakikipanayam sa iyo at ibahagi ang ilan sa iyong mahahalagang tagumpay sa aming madla. Ang panayam na ito ay maaaring mag-udyok sa mga kabataan ng ating minamahal na bansa na tuklasin ang kanilang mga talento at sumulong sa tagumpay.
Hindi na kailangang sabihin, ang panayam na ito ay isang malaking karangalan para sa akin nang personal, at hinihimok ko kayong tanggapin ang aking imbitasyon para sa panayam.
Ang mga tanong ay propesyonal na idinisenyo ng isang grupo ng aking mga kasamahan at ang magreresultang panayam ay ilalathala sa Lingguhang Panayam na seksyon ng WSJ. Ipapadala ko sa iyo ang mga tanong at kinakailangan ng panayam sa sandaling tanggapin mo.
*Talababa: Ang hindi lokal ay tumutukoy sa mga taong ipinanganak sa ibang bansa.
Salamat sa iyong kabaitan at atensyon.
Farnaz Fasihi
Ang mga link sa loob ng mga email ay nasa isang maikling format ng URL, kadalasang ginagamit ng mga aktor ng pagbabanta upang itago ang mga lehitimong link sa likod ng mga ito, na naglalayong mangolekta ng data ng mga IP address, browser, at mga bersyon ng OS at higit pa. Nakatulong iyon sa pagbibigay daan sa higit pang mga pag-atake sa pamamagitan ng pagbuo ng tiwala sa paulit-ulit na komunikasyon at paghahanda para sa sandaling kumilos.
Kapag naitatag na ang tiwala sa paglipas ng panahon, nagpapadala ang mga hacker ng link na naglalaman ng mga sinasabing tanong sa panayam. Ipinakita ng mga sample ng Computer Emergency Response Team sa Farsi (CERTFA) na ang mga umaatake ay gumagamit ng isang paraan na ginamit ng mga phisher sa mga nakaraang taon, kasama ang mga pahinang naka-host sa Google Sites.
Sa sandaling mabuksan ng biktima ang link, maaaring ma-redirect sila sa isa pang pekeng page na sumusubok na itala ang kanilang mga kredensyal sa pag-log in at two-factor authentication code sa pamamagitan ng paggamit ng phishing kit.
Buod ng Charming Kitten Operations
Noong 2015, natuklasan ng mga mananaliksik ang unang alon ng mga pag-atake sa phishing, kung saan ang mga operasyon ng espiya sa isang malawak na saklaw ay natuklasan mula 2016 hanggang 2017 ng mga mananaliksik sa ClearSky. Gumamit ang mga operator ng Charming Kitten ng impersonation, spear-phishing, at watering hole attack.
Noong 2018, hinabol ng mga cybercriminal ng Charming Kitten ang ClearSky gamit ang isang mapanlinlang na website na nagpapanggap bilang portal ng kumpanya ng seguridad. Mas maraming pag-atake ang natukoy sa taong iyon laban sa mga target sa Middle Eastern na may pekeng email campaign at pekeng website.
Noong 2019, pinalawak ang mga aktibidad ng Charming Kitten (APT35) sa pamamagitan ng pag-target sa mga hindi Iranian sa US, Middle East, at France, na may pag-target sa mga pampublikong tao sa labas ng academic fiends na una nilang pinupuntahan. Nagsimula silang mag-attach ng tracker sa kanilang email correspondence para sundan ang mga email na ipinapasa sa ibang mga account, na naglalayong kumuha ng geolocation data.
>>>I-update ang ika-10 ng Mayo, 2020 - APT35 (Kaakit-akit na Kuting) na Kasangkot Sa Kampanya ng Pag-hack ng COVID-19
Ang isang hanay ng mga pampublikong available na web archive na sinuri ng mga eksperto sa cybersecurity ay nagsiwalat na ang Iranian hacking group na kilala bilang Charming Kitten, bukod sa iba pang mga pangalan, ang nasa likod ng isang cyber-attack noong Abril laban sa kumpanya ng gamot na nakabase sa Gilead Sciences Inc na sangkot sa pananaliksik sa COVID-19.
Sa isa sa mga pagkakataong nakita ng mga mananaliksik sa seguridad, ang mga hacker ay gumamit ng isang huwad na email login page na partikular na idinisenyo upang magnakaw ng mga password mula sa isang nangungunang executive ng Gilead, na kasangkot sa corporate at legal na mga gawain. Ang pag-atake ay natagpuan sa isang website na ginagamit upang i-scan ang mga web address para sa malisyosong aktibidad, ngunit hindi natukoy ng mga mananaliksik kung ito ay matagumpay.
Isa sa mga analyst na nagsaliksik sa pag-atake ay si Ohad Zaidenberg mula sa Israeli cybersecurity firm na ClearSky. Nagkomento siya na ang pag-atake ng Abril laban sa Gilead ay isang pagsisikap na ikompromiso ang mga corporate email account sa isang mensahe na nagpapanggap bilang isang pagtatanong ng mamamahayag. Kinumpirma ng iba pang analyst, na hindi pinahintulutang magkomento sa publiko na ang pag-atake ay gumamit ng mga domain at server na dating ginamit ng Iranian hacking group na kilala bilang Charming Kitten.
Trending APT Hacker Groups Chart - Pinagmulan: Securitystack.co
Ang diplomatikong misyon ng Iran sa United Nations ay itinanggi ang anumang pagkakasangkot sa naturang mga pag-atake, kung saan sinabi ng tagapagsalita na si Alireza Miryousefi na "Ang gobyerno ng Iran ay hindi nakikibahagi sa cyber warfare," idinagdag pa na "Ang mga aktibidad sa cyber na ginagawa ng Iran ay purong depensiba at upang maprotektahan laban sa karagdagang pag-atake sa imprastraktura ng Iran."
Sinunod ng Gilead ang patakaran ng kumpanya sa pagtalakay sa mga usapin sa cybersecurity at tumanggi na magkomento. Ang kumpanya ay nakatanggap ng maraming pansin kamakailan, dahil ito ang gumagawa ng antiviral na gamot na remdesivir, na sa kasalukuyan ay ang tanging paggamot na napatunayang makakatulong sa mga pasyenteng nahawaan ng COVID-19. Isa rin ang Gilead sa mga kumpanyang nangunguna sa pagsasaliksik at pagpapaunlad ng isang paggamot para sa nakamamatay na sakit, na ginagawa itong pangunahing target para sa mga pagsisikap sa pangangalap ng katalinuhan.
