APT35

APT35 Açıklama

apt35 hacker grupları APT35 (Gelişmiş Kalıcı Tehdit), İran'dan geldiğine inanılan bir bilgisayar korsanlığı grubudur. Bu bilgisayar korsanlığı grubu, diğer birkaç takma adla da bilinir – Newscaster Team, Phosphorus, Charming Kitten ve Ajax Security Team. APT35 bilgisayar korsanlığı grubu, genellikle hem siyasi olarak motive edilmiş kampanyalarda hem de finansal olarak motive edilmiş kampanyalarda yer alır. APT35 bilgisayar korsanlığı grubu, çabalarını insan hakları aktivizmine, çeşitli medya kuruluşlarına ve temel olarak akademik sektöre dahil olan aktörlere karşı yoğunlaştırma eğilimindedir. Kampanyaların çoğu Amerika Birleşik Devletleri, İsrail, İran ve Birleşik Krallık'ta gerçekleştiriliyor.

Popüler APT35 Kampanyaları

En kötü şöhretli APT35 operasyonlarından biri 2017 yılında HBO'ya karşı gerçekleştirilen operasyondur. Bu operasyonda APT35, henüz resmi olarak yayınlanmayan personel kişisel bilgileri ve şovlarından oluşan 1 TB'ın üzerinde veriyi sızdırdı. Onları haritaya koyan bir başka kötü şöhretli APT35 kampanyası, bir ABD Hava Kuvvetleri firarisini de içeren kampanyadır. Söz konusu kişi, APT35'in gizli devlet verilerine erişmesine yardımcı oldu. 2018'de APT35 grubu, meşru bir İsrail siber güvenlik şirketini taklit etmesi amaçlanan bir web sitesi oluşturdu. Tek fark, sahte web sitesinin biraz değiştirilmiş bir alan adına sahip olmasıydı. Bu kampanya, APT35'in şirketin bazı müşterilerinin giriş bilgilerini almasına yardımcı oldu. APT35'i içeren en son rezil kampanya Aralık 2018'de gerçekleştirildi. Bu operasyonda APT35 grubu Charming Kitten takma adı altında faaliyet gösterdi. Bu operasyon, o dönemde İran'a uygulanan askeri yaptırımların yanı sıra ekonomik yaptırımlarda etkisi olan çeşitli siyasi aktivistleri hedef aldı. APT35 grubu, hedefleriyle aynı alanlarda yer alan üst düzey profesyoneller olarak poz verdi. Saldırganlar, sahte sosyal medya profillerinin yanı sıra sahte ekler taşıyan özel kimlik avı e-postaları kullandı.

Sahte Görüşme E-postalarıyla Kimlik Avı

Hedeflenen kimlik avı kampanyaları, bilgisayar korsanlarının yürütme yöntemleri olarak sahte e-postalar ve sosyal mühendislik kullandığı Charming Kitten'ın çalışma tarzının bir parçasıdır. Bir 2019 kampanyasında Charming Kitten grubu, eski Wall Street Journal (WSJ) gazetecilerinin kimliğine büründü ve hedeflenen kurbanlarına sahte bir röportaj senaryosu ile yaklaştı. Grup ayrıca, genellikle İran ve uluslararası ilişkiler konularıyla ilgili olarak "CNN Röportajı" ve "Deutsche Welle Web Seminerine Davet" gibi farklı senaryolar kullandığı da tespit edildi.

Belirli bir vakada, saldırganlar, daha önce The Wall Street Journal için 17 yıl çalışmış olan ve şu anda New York Times gazetecisi olan Farnaz Fassihi'nin kimliğini kullanarak Arapça sahte bir e-posta oluşturdular. İlginçtir ki, bilgisayar korsanları Farnaz Fassihi'yi eski işvereni The Wall Street Journal için çalışıyormuş gibi sundu.


Sahte mülakat talebi e-postası - Kaynak: blog.certfa.com

E-posta çevirisi:

Merhaba *** ***** ******
Benim adım Farnaz Fasihi. Wall Street Journal gazetesinde gazeteciyim.
WSJ'nin Orta Doğu ekibi, gelişmiş ülkelerde yerel olmayan başarılı bireyleri tanıtmayı amaçlıyor. Araştırma ve bilim felsefesi alanlarındaki faaliyetleriniz, sizi başarılı bir İranlı olarak tanıtmama neden oldu. Orta Doğu ekibinin direktörü sizinle bir röportaj ayarlamamızı ve bazı önemli başarılarınızı izleyicilerimizle paylaşmamızı istedi. Bu röportaj, sevgili ülkemizin gençlerini yeteneklerini keşfetmeye ve başarıya doğru ilerlemeye motive edebilir.
Söylemeye gerek yok, bu röportaj kişisel olarak benim için büyük bir onur ve görüşme davetimi kabul etmenizi rica ediyorum.
Sorular bir grup meslektaşım tarafından profesyonelce tasarlandı ve ortaya çıkan röportaj WSJ'nin Haftalık Mülakat bölümünde yayınlanacak. Kabul ettiğiniz anda size röportajın sorularını ve gerekliliklerini göndereceğim.
*Dipnot: Yerel olmayan, başka ülkelerde doğmuş kişileri ifade eder.
Nezaketiniz ve ilginiz için teşekkür ederiz.
Farnaz Fasisi

E-postalarda bulunan tüm bağlantılar, bilgisayar korsanları tarafından kurbanlarını meşru adreslere yönlendirmek ve cihazları hakkında işletim sistemi, tarayıcı ve IP adresi gibi temel bilgileri toplamak için kullanılan kısaltılmış URL biçimindeydi. Bu bilgilere, hedeflerine yönelik ana saldırıya hazırlanırken bilgisayar korsanlarından ihtiyaç duyuldu.


Google Sites'ta barındırılan sahte WSJ sayfası örneği - Kaynak: blog.certfa.com

Amaçlanan hedefle göreceli güven kurduktan sonra, bilgisayar korsanları onlara röportaj sorularını içerdiği iddia edilen benzersiz bir bağlantı gönderir. Farsça Bilgisayar Acil Müdahale Ekibi (CERTFA) tarafından test edilen örneklere göre, saldırganlar, Google Sites'ta sayfa barındıran, geçtiğimiz yıl kimlik avcıları arasında çok popülerlik kazanan nispeten yeni bir yöntem kullanıyor.

Kurban, Google Site sayfasındaki "İndir" düğmesini tıkladığında, Modlishka gibi kimlik avı kitlerini kullanarak e-posta adresleri ve iki faktörlü kimlik doğrulama kodu için giriş bilgilerini toplamaya çalışacak başka bir sahte sayfaya yönlendirilecektir.

APT35'in DownPaper Kötü Amaçlı Yazılımı

DownPaper aracı, çoğunlukla birinci aşama yükü olarak kullanılan ve aşağıdaki özelliklere sahip olan bir arka kapı Truva Atı'dır:

  • Saldırganın C&C (Komut ve Kontrol) sunucusuyla bir bağlantı kurun ve sızan ana bilgisayarda yürütülecek komutları ve zararlı yükleri alın.
  • Windows Kayıt Defterini kurcalayarak kalıcılık kazanın.
  • Donanım ve yazılım verileri gibi güvenliği ihlal edilmiş sistem hakkında bilgi toplayın.
  • CMD ve PowerShell komutlarını yürütün.

APT35 bilgisayar korsanlığı grubu çok ısrarcı bir gruptur ve faaliyetlerini yakın zamanda durdurmayı planlamaları pek olası değildir. İran çevresindeki siyasi ortamın bir süredir ısındığını göz önünde bulundurursak, gelecekte APT35 grubunun kampanyalarını duymaya devam edeceğiz.

Güncelleme 10 Mayıs 2020 - APT35, COVID-19 Hacking Kampanyasına Dahil Oldu

Siber güvenlik uzmanları tarafından incelenen bir dizi kamuya açık web arşivi, diğer isimlerin yanı sıra Charming Kitten olarak bilinen İranlı bilgisayar korsanlığı grubunun, COVID-19 araştırmasına katılan Gilead Sciences Inc California merkezli ilaç şirketine karşı Nisan ayında düzenlenen bir siber saldırının arkasında olduğunu ortaya çıkardı.

Güvenlik araştırmacılarının karşılaştığı durumlardan birinde, bilgisayar korsanları, kurumsal ve yasal işlerle uğraşan üst düzey bir Gilead yöneticisinin parolalarını çalmak için özel olarak tasarlanmış sahte bir e-posta oturum açma sayfası kullandılar. Saldırı, kötü amaçlı etkinlik için web adreslerini taramak için kullanılan bir web sitesinde bulundu, ancak araştırmacılar başarılı olup olmadığını belirleyemediler.

trend olan hackerlara uygun
Trend Olan APT Hacker Grupları Tablosu - Kaynak: Securitystack.co

Saldırıyı araştıran analistlerden biri İsrail siber güvenlik firması ClearSky'den Ohad Zaidenberg'di. Gilead'e yönelik Nisan saldırısının, bir gazeteci soruşturmasını taklit eden bir mesajla kurumsal e-posta hesaplarını tehlikeye atma çabası olduğu yorumunu yaptı. Kamuya açık bir şekilde yorum yapma yetkisi olmayan diğer analistler, saldırının daha önce Charming Kitten olarak bilinen İran korsan grubu tarafından kullanılan etki alanlarını ve sunucuları kullandığını doğruladılar.

İran'ın Birleşmiş Milletler'deki diplomatik misyonu, bu tür saldırılarla herhangi bir ilgisi olduğunu reddederken, sözcü Alireza Miryousefi, "İran hükümeti siber savaşa girmez" diyerek, "İran'ın giriştiği siber faaliyetler tamamen savunma amaçlıdır ve İran'a yönelik saldırılara karşı koruma amaçlıdır. İran altyapısı."

hedef şehirleriran saldırganlar
Son İran Siber Kampanyalarında Hedeflenen Ülkeler - Kaynak: Stratfor.com

Gilead, siber güvenlik konularını tartışma konusunda şirket politikasını izledi ve yorum yapmayı reddetti. Şirket, şu anda COVID-19 ile enfekte hastalara yardımcı olduğu kanıtlanmış tek tedavi olan antiviral ilaç remdesivir'in üreticisi olduğu için son zamanlarda büyük ilgi gördü. Gilead aynı zamanda ölümcül hastalığa yönelik bir tedavinin araştırma ve geliştirmesine öncülük eden şirketlerden biridir ve onu istihbarat toplama çabalarının ana hedefi haline getirir.