APT35
APT35 (Advanced Persistent Threat) — це хакерська група, яка, як вважають, походить з Ірану. Ця хакерська група також відома під кількома іншими псевдонімами – Newscaster Team, Phosphorus, Charming Kitten і Ajax Security Team. Хакерська група APT35 зазвичай бере участь як у політично мотивованих кампаніях, так і в фінансово вмотивованих. Хакерська група APT35, як правило, зосереджує свої зусилля проти акторів, причетних до правозахисної діяльності, різних медіа-організацій та в основному академічного сектору. Більшість кампаній проводяться в США, Ізраїлі, Ірані та Великобританії.
Зміст
Популярні кампанії APT35
Однією з найвідоміших операцій APT35 є операція, здійснена проти HBO, яка відбулася в 2017 році. У ній APT35 витік понад 1 ТБ даних, які складалися з особистих даних співробітників і шоу, які ще не вийшли в офіційний ефір. Ще одна сумнозвісна кампанія APT35, яка показала їх на карті, - це та, в якій також брав участь перебіжчик з ВПС США. Особа, про яку йдеться, допомогла APT35 отримати доступ до секретних державних даних. У 2018 році група APT35 створила веб-сайт, який мав імітувати законну ізраїльську компанію з кібербезпеки. Єдина відмінність полягала в тому, що підроблений веб-сайт мав дещо змінене доменне ім’я. Ця кампанія допомогла APT35 отримати дані для входу деяких клієнтів компанії. Остання сумнозвісна кампанія за участю APT35 була проведена в грудні 2018 року. У цій операції група APT35 діяла під псевдонімом Charming Kitten. Ця операція була спрямована проти різних політичних активістів, які мали вплив на економічні санкції, а також військові санкції, накладені на той час проти Ірану. Група APT35 видавала себе високопоставлених професіоналів, які займаються тими ж сферами, що й їхні цілі. Зловмисники використовували спеціально підібрані фішингові листи з підробленими вкладеннями, а також фіктивні профілі в соціальних мережах.
Фішинг із підробними електронними листами інтерв'ю
Цільові фішингові кампанії є частиною способу роботи Charming Kitten, коли хакери використовують підроблені електронні листи та соціальну інженерію як методи виконання. В одній кампанії 2019 року група Charming Kitten видала себе за колишніх журналістів Wall Street Journal (WSJ) і підійшла до своїх передбачуваних жертв за допомогою сценарію фальшивого інтерв’ю. Група також була помічена за різними сценаріями, такими як «Інтерв’ю CNN» та «Запрошення на вебінар Deutsche Welle», як правило, на теми іранських та міжнародних справ.
В одному конкретному випадку зловмисники створили фіктивний електронний лист арабською мовою, використовуючи особу Фарназа Фасіхі, зараз журналіста New York Times, який раніше 17 років працював у The Wall Street Journal. Цікаво, що хакери представили Фарназ Фассіхі як працюючу на її колишнього роботодавця, The Wall Street Journal.
Підроблений електронний лист із запитом на співбесіду – Джерело: blog.certfa.com
Переклад електронної пошти:
Здрастуйте *** ***** ******
Мене звати Фарназ Фасіхі. Я журналіст газети Wall Street Journal.
Близькосхідна команда WSJ має намір представити успішних немісцевих осіб у розвинених країнах. Ваша діяльність у галузі досліджень та філософії науки спонукала мене представити вас як успішного іранця. Директор близькосхідної команди попросив нас організувати з вами інтерв’ю та поділитися деякими з ваших важливих досягнень з нашою аудиторією. Це інтерв’ю могло б мотивувати молодь нашої улюбленої країни розкрити свої таланти та рухатися до успіху.
Зайве говорити, що це інтерв’ю є великою честю для мене особисто, і я закликаю вас прийняти моє запрошення на співбесіду.
Питання розроблені професійно групою моїх колег, а отримане інтерв’ю буде опубліковано в розділі Щотижневе інтерв’ю WSJ. Я надішлю вам запитання та вимоги співбесіди, як тільки ви погодитеся.
*Примітка: немісцеві – це люди, які народилися в інших країнах.
Дякуємо за доброту та увагу.
Фарназ Фасіхі
Усі посилання, що містяться в електронних листах, були у скороченому форматі URL, який використовувався хакерами, щоб спрямовувати свою жертву на законні адреси, одночасно збираючи важливу інформацію про їхні пристрої, таку як операційна система, браузер та IP-адреса. Ця інформація знадобилася хакерам для підготовки до основної атаки на свої цілі.
Зразок фальшивої сторінки WSJ, розміщеної на Google Sites – Джерело: blog.certfa.com
Після встановлення відносної довіри до передбачуваної цілі хакери надсилали їм унікальне посилання, яке нібито містить запитання на співбесіді. Згідно зі зразками, перевіреними командою комп’ютерного реагування на надзвичайні ситуації на фарсі (CERTFA), зловмисники використовують відносно новий метод, який за останній рік здобув велику популярність серед фішерів, і розміщують сторінки на Google Sites.
Щойно жертва натисне кнопку «Завантажити» на сторінці сайту Google, вона буде переспрямована на іншу підроблену сторінку, яка спробує отримати облікові дані для входу для своєї адреси електронної пошти та їх двофакторного коду аутентифікації, використовуючи фішингові набори, такі як Modlishka.
Шкідливе програмне забезпечення DownPaper APT35
Інструмент DownPaper — це бекдорний троян, який здебільшого використовується як корисне навантаження першого етапу та має можливості:
- Встановіть з’єднання з сервером C&C (Command & Control) зловмисника та отримуйте команди та шкідливі корисні навантаження, які мають виконуватися на інфільтрованому хості.
- Зробіть стійкість, підробивши реєстр Windows.
- Збирайте інформацію про зламану систему, наприклад дані про апаратне та програмне забезпечення.
- Виконайте команди CMD і PowerShell.
Хакерська група APT35 — це дуже стійка група людей, і навряд чи вони планують найближчим часом припинити свою діяльність. Зважаючи на те, що політичний клімат навколо Ірану деякий час загострюється, імовірно, ми будемо чути про кампанії групи APT35 і в майбутньому.
Оновлення 10 травня 2020 р. – APT35 залучений до хакерської кампанії COVID-19
Набір загальнодоступних веб-архівів, перевірених експертами з кібербезпеки, показав, що іранська хакерська група, відома як Charming Kitten, серед інших імен, стояла за квітневою кібератакою на фармацевтичну компанію Gilead Sciences Inc., яка бере участь у дослідженнях COVID-19.
В одному із випадків, на які натрапили дослідники безпеки, хакери використали фіктивну сторінку входу в електронну пошту, яка була спеціально розроблена для крадіжки паролів у топ-менеджера Gilead, який займається корпоративними та юридичними справами. Атаку виявили на веб-сайті, який використовується для сканування веб-адрес на наявність шкідливої діяльності, але дослідники не змогли визначити, чи була вона успішною.
Діаграма тенденційних груп хакерів APT – Джерело: Securitystack.co
Одним з аналітиків, які досліджували атаку, був Охад Зайденберг з ізраїльської фірми з кібербезпеки ClearSky. Він прокоментував, що квітнева атака на Gilead була спробою скомпрометувати корпоративні облікові записи електронної пошти за допомогою повідомлення, яке видавало себе за запит журналіста. Інші аналітики, які не були уповноважені давати публічні коментарі, з тих пір підтвердили, що в атаці були використані домени та сервери, які раніше використовувала іранська хакерська група, відома як Charming Kitten.
Дипломатичне представництво Ірану при ООН заперечило будь-яку причетність до таких атак , а речник Аліреза Мірюсефі заявив, що «іранський уряд не бере участь у кібервійні», додавши, що «кіберактивність Ірану носить виключно оборонний характер і для захисту від подальших атак на Іранська інфраструктура».
Країни, на які націлені нещодавні іранські кібер-кампанії – Джерело: Stratfor.com
Gilead дотримувався політики компанії щодо обговорення питань кібербезпеки і відмовився від коментарів. Останнім часом компанія привертає велику увагу, оскільки є виробником противірусного препарату ремдезивір, який наразі є єдиним засобом, який доведено допомагає пацієнтам, інфікованим COVID-19. Gilead також є однією з компаній, які ведуть дослідження та розробку засобів для лікування смертельної хвороби, що робить її основною мішенню для збору розвідувальних даних.
