Büyüleyici Yavru Kedi APT
APT35 olarak da bilinen Charming Kitten, İran bağlantılı olduğundan şüphelenilen bir hacker grubu olan gelişmiş bir kalıcı tehdittir. Grup ayrıca diğer isimlerle de bilinir: Fosfor, Ajax Güvenlik Ekibi ve Haber spikeri Ekibi. Charming Kitten'ın siyasi amaçlı kampanyaların yanı sıra finansal nedenlerle motive edilen kampanyaları olduğu gözlemlendi. İnsan hakları aktivistlerini, medya kuruluşlarını ve akademik sektörü hedefliyorlar. Kampanyalarının çoğu Birleşik Krallık, Amerika Birleşik Devletleri, İran ve İsrail'e saldırmak için bastırıyordu.
İçindekiler
Büyüleyici Yavru Kedi Kampanyaları
Hacker grubu tarafından gerçekleştirilen daha kapsamlı operasyonlardan biri 2017'de HBO'ya karşı gerçekleştirildi. Siber suçlular, şirket personeli, yaklaşan şovlar ve daha fazlası hakkında kişisel bilgiler içeren bir terabaytlık veriyi sızdırdı. Charming Kitten, nam-ı diğer APT35 tarafından sahnelenen diğer saldırılar arasında, ABD Hava Kuvvetlerinden kaçan bir kişi aracılığıyla ayrıntılı verilere erişim ve oturum açma bilgilerini çalmak için bir İsrail siber güvenlik şirketinin web sitesinin sahtekarlığı yer aldı. Onları İran'a bağlayan saldırı, ülkeye yönelik yaptırımları etkileyen siyasi aktivistleri hedef alan bir 2018 operasyonuydu. Charming Kitten operatörleri, üst düzey profesyoneller gibi görünmek için kötü niyetli ekler ve sosyal mühendislik içeren kimlik avı e-postalarını kullandı.
Büyüleyici Yavru Kedi için İran Açısı
Hedeflenen kimlik avı kampanyaları, eski Wall Street Journal gazetecilerini taklit etmeyi amaçlayan 2019 kampanyasında da görülebileceği gibi, APT35'in (Charming Kitten) iş yapma biçiminin bir parçasıydı. Bu yaklaşımı, genellikle o zamanlar İran ve uluslararası ilişkiler konularında röportajlar veya web seminerlerine davet vaadiyle pençelerini kurbanlarına batırmak için kullandılar.
Bu vakalardan birinde, saldırganlar, 17 yıldır yayın için çalışan eski bir Wall Street Journal çalışanı olan gerçek hayattaki Farnaz Fassihi'yi taklit eden sahte kimlik altında Arapça bir e-posta oluşturdu. Charming Kitten ajanları, bu sahte kişiliği hala WSJ için çalışıyormuş gibi sundu.
Sahte röportaj isteği. Kaynak: blog.certfa.com
E-postanın içeriği şu şekildeydi:
Merhaba *** ***** ******
Benim adım Farnaz Fasihi. Wall Street Journal gazetesinde gazeteciyim.
WSJ'nin Orta Doğu ekibi, gelişmiş ülkelerde yerel olmayan başarılı bireyleri tanıtmayı amaçlıyor. Araştırma ve bilim felsefesi alanlarındaki faaliyetleriniz, sizi başarılı bir İranlı olarak tanıtmama neden oldu. Orta Doğu ekibinin direktörü sizinle bir röportaj ayarlamamızı ve bazı önemli başarılarınızı izleyicilerimizle paylaşmamızı istedi. Bu röportaj, sevgili ülkemizin gençlerini yeteneklerini keşfetmeye ve başarıya doğru ilerlemeye motive edebilir.
Söylemeye gerek yok, bu röportaj kişisel olarak benim için büyük bir onur ve görüşme davetimi kabul etmenizi rica ediyorum.
Sorular bir grup meslektaşım tarafından profesyonelce tasarlandı ve ortaya çıkan röportaj WSJ'nin Haftalık Mülakat bölümünde yayınlanacak. Kabul ettiğiniz anda size röportajın sorularını ve gerekliliklerini göndereceğim.
*Dipnot: Yerel olmayan, başka ülkelerde doğmuş kişileri ifade eder.
Nezaketiniz ve ilginiz için teşekkür ederiz.
Farnaz Fasisi
E-postalardaki bağlantılar, genellikle tehdit aktörleri tarafından arkalarındaki meşru bağlantıları gizlemek için kullanılan, IP adresleri, tarayıcı ve işletim sistemi sürümleri ve daha fazlasının veri toplamasını amaçlayan kısa bir URL biçimindeydi. Bu, tekrarlanan iletişimle güven inşa ederek ve harekete geçme anına hazırlanarak daha fazla saldırının yolunu açmaya yardımcı oldu.
Zaman içinde güven bir kez kurulduktan sonra, bilgisayar korsanları iddia edilen görüşme sorularını içeren bir bağlantı gönderir. Farsça Bilgisayar Acil Müdahale Ekibi (CERTFA) örnekleri, saldırganların Google Sites tarafından barındırılan sayfalarla son yıllarda kimlik avcıları tarafından kullanılan bir yöntemi kullandığını gösterdi.
Kurban bağlantıyı açtığında, bir kimlik avı kiti kullanarak oturum açma kimlik bilgilerini ve iki faktörlü kimlik doğrulama kodunu kaydetmeye çalışan başka bir sahte sayfaya yönlendirilebilir.
Büyüleyici Yavru Kedi Operasyonlarının Özeti
2015 yılında, ilk oltalama saldırısı dalgası araştırmacılar tarafından keşfedildi ve daha sonra ClearSky'deki araştırmacılar tarafından 2016'dan 2017'ye kadar büyük ölçekte casusluk operasyonları keşfedildi. Charming Kitten operatörleri kimliğe bürünme, mızrakla kimlik avı ve su deliği saldırıları kullandı.
2018'de Charming Kitten siber suçluları, güvenlik şirketinin portalını taklit eden sahte bir web sitesiyle ClearSky'nin peşine düştü. O yıl, sahte bir e-posta kampanyası ve sahte web siteleri ile Orta Doğu hedeflerine yönelik daha fazla saldırı tespit edildi.
2019'da Charming Kitten (APT35) faaliyetleri ABD, Orta Doğu ve Fransa'daki İranlı olmayanları hedef alarak genişledi ve başlangıçta gittikleri akademik arkadaşların dışındaki tanınmış kişileri hedef aldı. Coğrafi konum verilerini elde etmek amacıyla diğer hesaplara yönlendirilen e-postaları takip etmek için e-posta yazışmalarına bir izleyici eklemeye başladılar.
>>>Güncelleme 10 Mayıs 2020 - APT35 (Charming Kitten) COVID-19 Hacking Kampanyasına Katıldı
Siber güvenlik uzmanları tarafından incelenen bir dizi kamuya açık web arşivi, diğer isimlerin yanı sıra Charming Kitten olarak bilinen İranlı bilgisayar korsanlığı grubunun, COVID-19 araştırmasına katılan Gilead Sciences Inc California merkezli ilaç şirketine karşı Nisan ayında düzenlenen bir siber saldırının arkasında olduğunu ortaya çıkardı.
Güvenlik araştırmacılarının karşılaştığı durumlardan birinde, bilgisayar korsanları, kurumsal ve yasal işlerle uğraşan üst düzey bir Gilead yöneticisinin parolalarını çalmak için özel olarak tasarlanmış sahte bir e-posta oturum açma sayfası kullandılar. Saldırı, kötü amaçlı etkinlik için web adreslerini taramak için kullanılan bir web sitesinde bulundu, ancak araştırmacılar başarılı olup olmadığını belirleyemediler.
Saldırıyı araştıran analistlerden biri İsrail siber güvenlik firması ClearSky'den Ohad Zaidenberg'di. Nisan ayında Gilead'e yönelik saldırının, bir gazeteci soruşturmasını taklit eden bir mesajla kurumsal e-posta hesaplarını ele geçirme çabası olduğunu söyledi. Kamuya açık bir şekilde yorum yapma yetkisi olmayan diğer analistler, saldırının daha önce Charming Kitten olarak bilinen İran korsan grubu tarafından kullanılan etki alanlarını ve sunucuları kullandığını doğruladılar.
Trend Olan APT Hacker Grupları Tablosu - Kaynak: Securitystack.co
İran'ın Birleşmiş Milletler'deki diplomatik misyonu, bu tür saldırılarla herhangi bir ilgisi olduğunu reddetti ve sözcü Alireza Miryousefi, "İran hükümeti siber savaşa girmez" diyerek, "İran'ın giriştiği siber faaliyetler tamamen savunma amaçlıdır ve İran'a yönelik saldırılara karşı koruma amaçlıdır. İran altyapısı."
Gilead, siber güvenlik konularını tartışma konusunda şirket politikasını izledi ve yorum yapmayı reddetti. Şirket, şu anda COVID-19 ile enfekte hastalara yardımcı olduğu kanıtlanmış tek tedavi olan antiviral ilaç remdesivir'in üreticisi olduğu için son zamanlarda büyük ilgi gördü. Gilead aynı zamanda ölümcül hastalık için bir tedavi araştırma ve geliştirmesine öncülük eden şirketlerden biridir ve onu istihbarat toplama çabalarının ana hedefi haline getirir.
