APT35

APT35 Description

apt35 tấn công hacker nhóm APT35 (Mối đe dọa liên tục nâng cao) là một nhóm hack được cho là có nguồn gốc từ Iran. Nhóm hack này còn được biết đến dưới một số bí danh khác - Nhóm phát thanh viên, Phosphorus, Charming Kitten và Đội bảo mật Ajax. Nhóm hack APT35 thường tham gia vào cả các chiến dịch có động cơ chính trị cũng như các chiến dịch có động cơ tài chính. Nhóm hack APT35 có xu hướng tập trung nỗ lực chống lại các bên liên quan đến hoạt động nhân quyền, các tổ chức truyền thông khác nhau và chủ yếu là lĩnh vực học thuật. Hầu hết các chiến dịch được thực hiện ở Hoa Kỳ, Israel, Iran và Vương quốc Anh.

Các chiến dịch APT35 phổ biến

Một trong những hoạt động APT35 khét tiếng nhất là hoạt động chống lại HBO diễn ra vào năm 2017. Trong đó, APT35 đã làm rò rỉ hơn 1TB dữ liệu, bao gồm các chi tiết và chương trình cá nhân của nhân viên, vẫn chưa được phát sóng chính thức. Một chiến dịch APT35 khét tiếng khác đã đưa chúng lên bản đồ là chiến dịch cũng có sự tham gia của một lính đào ngũ của Lực lượng Không quân Hoa Kỳ. Cá nhân được đề cập đã hỗ trợ APT35 trong việc truy cập vào dữ liệu đã phân loại của chính phủ. Vào năm 2018, nhóm APT35 đã xây dựng một trang web nhằm bắt chước một công ty an ninh mạng hợp pháp của Israel. Điểm khác biệt duy nhất là trang web giả mạo có tên miền bị thay đổi một chút. Chiến dịch này đã giúp APT35 có được chi tiết đăng nhập của một số khách hàng của công ty. Chiến dịch khét tiếng mới nhất liên quan đến APT35 được thực hiện vào tháng 12 năm 2018. Trong chiến dịch này, nhóm APT35 hoạt động dưới bí danh Charming Kitten. Hoạt động này nhắm vào các nhà hoạt động chính trị khác nhau, những người có ảnh hưởng trong các lệnh trừng phạt kinh tế, cũng như các lệnh trừng phạt quân sự đối với Iran vào thời điểm đó. Nhóm APT35 đóng vai trò là các chuyên gia cấp cao tham gia vào các lĩnh vực giống như mục tiêu của họ. Những kẻ tấn công đã sử dụng các email lừa đảo phù hợp với các tệp đính kèm giả mạo, cũng như các hồ sơ mạng xã hội không có thật.

Lừa đảo với Email Phỏng vấn Bogus

Các chiến dịch lừa đảo có mục tiêu là một phần trong phương thức hoạt động của Charming Kitten, với việc tin tặc sử dụng email giả và kỹ thuật xã hội làm phương pháp thực thi. Trong một chiến dịch năm 2019, nhóm Charming Kitten đã đóng giả các nhà báo cũ của Tạp chí Phố Wall (WSJ) và tiếp cận các nạn nhân dự định của họ bằng một kịch bản phỏng vấn giả. Nhóm cũng đã được phát hiện bằng cách sử dụng các kịch bản khác nhau, chẳng hạn như '' Cuộc phỏng vấn CNN '' và '' Lời mời đến Hội thảo trên web Deutsche Welle '', thường xoay quanh các chủ đề về các vấn đề quốc tế và Iran.

Trong một trường hợp cụ thể, những kẻ tấn công đã tạo ra một email không có thật bằng tiếng Ả Rập, sử dụng danh tính của Farnaz Fassihi, hiện là nhà báo của New York Times, trước đó đã làm việc cho The Wall Street Journal trong 17 năm. Điều thú vị là, các tin tặc trình bày Farnaz Fassihi đang làm việc cho chủ cũ của cô, The Wall Street Journal.


Email yêu cầu phỏng vấn giả - Nguồn: blog.certfa.com

Bản dịch email:

Xin chào *** ***** ******
Tên tôi là Farnaz Fasihi. Tôi là một nhà báo của tờ Wall Street Journal.
Nhóm Trung Đông của WSJ dự định giới thiệu những cá nhân thành công ngoài địa phương ở các nước phát triển. Các hoạt động của bạn trong lĩnh vực nghiên cứu và triết học khoa học đã khiến tôi giới thiệu bạn là một người Iran thành đạt. Giám đốc của nhóm Trung Đông đã yêu cầu chúng tôi sắp xếp một cuộc phỏng vấn với bạn và chia sẻ một số thành tựu quan trọng của bạn với khán giả của chúng tôi. Cuộc phỏng vấn này có thể thúc đẩy thanh niên của đất nước thân yêu của chúng ta khám phá tài năng của họ và tiến tới thành công.
Không cần phải nói, cuộc phỏng vấn này là một vinh dự lớn đối với cá nhân tôi, và tôi mong các bạn chấp nhận lời mời phỏng vấn của tôi.
Các câu hỏi được thiết kế một cách chuyên nghiệp bởi một nhóm đồng nghiệp của tôi và kết quả cuộc phỏng vấn sẽ được công bố trong mục Phỏng vấn hàng tuần của WSJ. Tôi sẽ gửi cho bạn các câu hỏi và yêu cầu của cuộc phỏng vấn ngay khi bạn chấp nhận.
* Chú thích cuối trang: Không thuộc địa phương đề cập đến những người sinh ra ở các quốc gia khác.
Cảm ơn các bạn đã quan tâm và theo dõi.
Farnaz Fasihi

Tất cả các liên kết có trong email đều ở định dạng URL rút gọn, được tin tặc sử dụng để hướng dẫn nạn nhân đến các địa chỉ hợp pháp, đồng thời thu thập thông tin cần thiết về thiết bị của họ, chẳng hạn như hệ điều hành, trình duyệt và địa chỉ IP. Tin tặc cần thông tin này để chuẩn bị cho cuộc tấn công chính vào các mục tiêu của chúng.


Mẫu trang WSJ giả mạo được lưu trữ trên Google Sites - Nguồn: blog.certfa.com

Sau khi thiết lập lòng tin tương đối với mục tiêu đã định, tin tặc sẽ gửi cho họ một liên kết duy nhất, được cho là chứa các câu hỏi phỏng vấn. Theo các mẫu thử nghiệm bởi Nhóm Ứng cứu Khẩn cấp Máy tính ở Farsi (CERTFA), những kẻ tấn công đang sử dụng một phương pháp tương đối mới đã trở nên phổ biến với những kẻ lừa đảo trong năm qua, lưu trữ các trang trên Google Sites.

Khi nạn nhân nhấp vào nút '' Tải xuống '' trên trang Google Site, họ sẽ được chuyển hướng đến một trang giả mạo khác, trang này sẽ cố gắng lấy thông tin đăng nhập cho địa chỉ email và mã xác thực hai yếu tố của họ, sử dụng bộ công cụ lừa đảo như Modlishka.

Phần mềm độc hại DownPaper của APT35

Công cụ DownPaper là một Trojan cửa sau, chủ yếu được sử dụng làm trọng tải giai đoạn đầu và có khả năng:

  • Thiết lập kết nối với máy chủ C&C (Command & Control) của kẻ tấn công và nhận các lệnh và tải trọng có hại, sẽ được thực thi trên máy chủ bị xâm nhập.
  • Có được sự bền bỉ bằng cách giả mạo Windows Registry.
  • Thu thập thông tin về hệ thống bị xâm phạm, chẳng hạn như dữ liệu phần cứng và phần mềm.
  • Thực thi các lệnh CMD và PowerShell.

Nhóm hack APT35 là một nhóm cá nhân rất kiên trì và không có khả năng họ có kế hoạch tạm dừng hoạt động của mình sớm. Hãy nhớ rằng bầu không khí chính trị xung quanh Iran đã nóng lên trong một thời gian, có khả năng chúng ta sẽ tiếp tục nghe về các chiến dịch của nhóm APT35 trong tương lai.

Cập nhật ngày 10 tháng 5 năm 2020 - APT35 tham gia vào chiến dịch lấy cắp dữ liệu COVID-19

Một tập hợp các kho lưu trữ web công khai được các chuyên gia an ninh mạng xem xét tiết lộ rằng nhóm hack Iran có tên là Charming Kitten, cùng với các tên khác, đứng sau một cuộc tấn công mạng hồi tháng 4 nhằm vào công ty dược phẩm Gilead Sciences Inc có trụ sở tại California liên quan đến nghiên cứu COVID-19.

Trong một trong những trường hợp mà các nhà nghiên cứu bảo mật bắt gặp, các tin tặc đã sử dụng một trang đăng nhập email không có thật được thiết kế đặc biệt để đánh cắp mật khẩu từ một giám đốc điều hành hàng đầu của Gilead, có liên quan đến các vấn đề pháp lý và công ty. Cuộc tấn công được phát hiện trên một trang web được sử dụng để quét các địa chỉ web để tìm hoạt động độc hại, nhưng các nhà nghiên cứu không thể xác định liệu nó có thành công hay không.

hacker xu hướng group apt
Bảng xếp hạng các nhóm tin tặc APT thịnh hành - Nguồn: Securitystack.co

Một trong những nhà phân tích nghiên cứu cuộc tấn công là Ohad Zaidenberg từ công ty an ninh mạng ClearSky của Israel. Ông nhận xét rằng cuộc tấn công vào tháng 4 nhằm vào Gilead là một nỗ lực nhằm xâm nhập các tài khoản email của công ty bằng một thông điệp mạo danh một cuộc điều tra của nhà báo. Các nhà phân tích khác, những người không được phép bình luận công khai kể từ đó đã xác nhận rằng cuộc tấn công đã sử dụng các tên miền và máy chủ mà trước đó đã được sử dụng bởi nhóm hack Iran có tên là Charming Kitten.

Cơ quan đại diện ngoại giao của Iran tại Liên hợp quốc đã phủ nhận bất kỳ sự liên quan nào đến các cuộc tấn công như vậy , với phát ngôn viên Alireza Miryousefi tuyên bố rằng "Chính phủ Iran không tham gia vào chiến tranh mạng", nói thêm "Các hoạt động mạng mà Iran tham gia hoàn toàn là phòng thủ và để bảo vệ chống lại các cuộc tấn công tiếp theo. Cơ sở hạ tầng của Iran. "

the quoc gia duoc dat muc tieu la the iran hung binh
Các quốc gia được nhắm mục tiêu trong các chiến dịch không gian mạng gần đây của Iran - Nguồn: Stratfor.com

Gilead đã tuân theo chính sách của công ty về việc thảo luận các vấn đề an ninh mạng và từ chối bình luận. Công ty đã nhận được rất nhiều sự chú ý trong thời gian gần đây, vì đây là nhà sản xuất thuốc kháng vi-rút remdesivir, hiện là phương pháp điều trị duy nhất được chứng minh là có thể giúp bệnh nhân bị nhiễm COVID-19. Gilead cũng là một trong những công ty đi đầu trong việc nghiên cứu và phát triển phương pháp điều trị căn bệnh chết người, trở thành mục tiêu hàng đầu cho các nỗ lực thu thập thông tin tình báo.