Chú mèo con quyến rũ APT

Chú mèo con quyến rũ APT

Charming Kitten, còn được gọi là APT35 , là một mối đe dọa dai dẳng tiên tiến, một nhóm tin tặc có mối quan hệ đáng ngờ với Iran. Nhóm còn được gọi với các tên khác: Phosphorus, Ajax Security Team và Newscaster Team. Charming Kitten đã được quan sát là có các chiến dịch có động cơ chính trị, nhưng cũng có những chiến dịch được thúc đẩy bởi lý do tài chính. Họ nhắm đến các nhà hoạt động nhân quyền, các tổ chức truyền thông và khu vực học thuật. Phần lớn các chiến dịch của họ là thúc đẩy các cuộc tấn công vào Vương quốc Anh, Hoa Kỳ, Iran và Israel.

Chiến dịch Chú mèo con quyến rũ

Một trong những hoạt động mở rộng hơn do nhóm tin tặc thực hiện đã được thực hiện chống lại HBO vào năm 2017. Tội phạm mạng đã rò rỉ khoảng hàng terabyte dữ liệu với thông tin cá nhân của nhân viên công ty, các chương trình sắp tới, v.v. Các cuộc tấn công khác do Charming Kitten, hay còn gọi là APT35, tổ chức bao gồm quyền truy cập vào dữ liệu chi tiết thông qua một lính đào tẩu của Lực lượng Không quân Hoa Kỳ và giả mạo trang web của một công ty an ninh mạng của Israel để lấy cắp thông tin đăng nhập. Cuộc tấn công buộc họ với Iran là một hoạt động năm 2018 nhằm vào các nhà hoạt động chính trị có ảnh hưởng đến các lệnh trừng phạt nhằm vào nước này. Các đặc vụ Charming Kitten đã sử dụng email lừa đảo với các tệp đính kèm độc hại và kỹ thuật xã hội để đóng giả là các chuyên gia cấp cao.

Góc nhìn của người Iran đối với chú mèo con quyến rũ

Các chiến dịch lừa đảo có mục tiêu là một phần trong cách APT35 (Chú mèo con quyến rũ) kinh doanh, như có thể thấy trong chiến dịch năm 2019 của họ nhằm mục đích mạo danh các nhà báo cũ của Wall Street Journal. Họ sử dụng cách tiếp cận đó để gài móng vuốt vào nạn nhân với lời hứa hẹn phỏng vấn hoặc mời tham gia hội thảo trên web, thường về các chủ đề của Iran và quốc tế vào thời điểm đó.
Trong một trong những trường hợp này, những kẻ tấn công đã soạn một email bằng tiếng Ả Rập dưới danh tính giả, bắt chước Farnaz Fassihi ngoài đời thực, một cựu nhân viên của Wall Street Journal với 17 năm làm việc cho ấn phẩm. Các đặc vụ Charming Kitten đã trình bày về nhân vật giả này khi vẫn làm việc cho WSJ.

Yêu cầu phỏng vấn giả. Nguồn: blog.certfa.com

Nội dung email như sau:

Xin chào *** ***** ******
Tên tôi là Farnaz Fasihi. Tôi là một nhà báo của tờ Wall Street Journal.
Nhóm Trung Đông của WSJ dự định giới thiệu những cá nhân thành công ngoài địa phương ở các nước phát triển. Các hoạt động của bạn trong lĩnh vực nghiên cứu và triết học khoa học đã khiến tôi giới thiệu bạn là một người Iran thành đạt. Giám đốc của nhóm Trung Đông đã yêu cầu chúng tôi sắp xếp một cuộc phỏng vấn với bạn và chia sẻ một số thành tựu quan trọng của bạn với khán giả của chúng tôi. Cuộc phỏng vấn này có thể thúc đẩy thanh niên của đất nước thân yêu của chúng ta khám phá tài năng của họ và tiến tới thành công.
Không cần phải nói, cuộc phỏng vấn này là một vinh dự lớn đối với cá nhân tôi, và tôi mong các bạn chấp nhận lời mời phỏng vấn của tôi.
Các câu hỏi được thiết kế một cách chuyên nghiệp bởi một nhóm đồng nghiệp của tôi và kết quả cuộc phỏng vấn sẽ được công bố trong mục Phỏng vấn hàng tuần của WSJ. Tôi sẽ gửi cho bạn các câu hỏi và yêu cầu của cuộc phỏng vấn ngay khi bạn chấp nhận.
* Chú thích cuối trang: Không thuộc địa phương đề cập đến những người sinh ra ở các quốc gia khác.
Cảm ơn các bạn đã quan tâm và theo dõi.
Farnaz Fasihi

Các liên kết trong email có định dạng URL ngắn, thường được các tác nhân đe dọa sử dụng để ngụy trang các liên kết hợp pháp đằng sau chúng, nhằm mục đích thu thập dữ liệu về địa chỉ IP, trình duyệt và phiên bản hệ điều hành, v.v. Điều đó đã giúp mở đường cho các cuộc tấn công tiếp theo bằng cách xây dựng lòng tin bằng cách liên lạc lặp đi lặp lại và chuẩn bị cho thời điểm hành động.

Khi lòng tin được thiết lập theo thời gian, các tin tặc sẽ gửi một liên kết có chứa các câu hỏi phỏng vấn bị cáo buộc. Các mẫu của Nhóm Ứng cứu Khẩn cấp Máy tính ở Farsi (CERTFA) cho thấy những kẻ tấn công đang sử dụng một phương pháp được những kẻ lừa đảo sử dụng trong những năm gần đây, với các trang do Google Sites lưu trữ.

Khi nạn nhân mở liên kết, họ có thể được chuyển hướng đến một trang giả mạo khác cố gắng ghi lại thông tin đăng nhập và mã xác thực hai yếu tố của họ thông qua việc sử dụng bộ công cụ lừa đảo.

Tóm tắt các hoạt động của chú mèo con quyến rũ

Vào năm 2015, làn sóng tấn công lừa đảo đầu tiên đã được các nhà nghiên cứu phát hiện, các hoạt động gián điệp sau đó trên quy mô lớn đã được các nhà nghiên cứu tại ClearSky phát hiện từ năm 2016 đến năm 2017. Những người điều hành Charming Kitten đã sử dụng các cuộc tấn công mạo danh, lừa đảo bằng giáo và lỗ phun nước.

Vào năm 2018, tội phạm mạng Charming Kitten đã truy lùng ClearSky với một trang web lừa đảo mạo danh cổng thông tin của công ty bảo mật. Nhiều cuộc tấn công đã được xác định trong năm đó nhằm vào các mục tiêu Trung Đông bằng một chiến dịch email giả mạo và các trang web giả mạo.

Vào năm 2019, các hoạt động của Charming Kitten (APT35) được mở rộng bằng cách nhắm mục tiêu đến những người không phải là người Iran ở Mỹ, Trung Đông và Pháp, với mục tiêu là những nhân vật của công chúng không phải là học sinh giỏi mà họ sẽ theo đuổi ban đầu. Họ bắt đầu gắn một trình theo dõi vào thư từ email của họ để theo dõi các email được chuyển tiếp đến các tài khoản khác, với ý định lấy dữ liệu vị trí địa lý.

>>> Cập nhật ngày 10 tháng 5 năm 2020 - APT35 (Chú mèo con quyến rũ) tham gia vào chiến dịch lấy cắp COVID-19

Một tập hợp các kho lưu trữ web công khai được các chuyên gia an ninh mạng xem xét tiết lộ rằng nhóm hack Iran có tên là Charming Kitten, cùng với các tên khác, đứng sau một cuộc tấn công mạng hồi tháng 4 nhằm vào công ty dược phẩm Gilead Sciences Inc có trụ sở tại California liên quan đến nghiên cứu COVID-19.

Trong một trong những trường hợp mà các nhà nghiên cứu bảo mật bắt gặp, các tin tặc đã sử dụng một trang đăng nhập email không có thật được thiết kế đặc biệt để đánh cắp mật khẩu từ một giám đốc điều hành hàng đầu của Gilead, có liên quan đến các vấn đề pháp lý và công ty. Cuộc tấn công được phát hiện trên một trang web được sử dụng để quét các địa chỉ web để tìm hoạt động độc hại, nhưng các nhà nghiên cứu không thể xác định liệu nó có thành công hay không.
Một trong những nhà phân tích nghiên cứu cuộc tấn công là Ohad Zaidenberg từ công ty an ninh mạng ClearSky của Israel. Ông nhận xét rằng cuộc tấn công vào tháng 4 nhằm vào Gilead là một nỗ lực nhằm xâm nhập các tài khoản email của công ty bằng một thông điệp mạo danh một cuộc điều tra của nhà báo. Các nhà phân tích khác, những người không được phép bình luận công khai kể từ đó đã xác nhận rằng cuộc tấn công đã sử dụng các tên miền và máy chủ mà trước đó đã được sử dụng bởi nhóm hack Iran có tên là Charming Kitten.

hacker xu hướng group apt

Bảng xếp hạng các nhóm tin tặc APT thịnh hành - Nguồn: Securitystack.co

Cơ quan đại diện ngoại giao của Iran tại Liên hợp quốc đã phủ nhận bất kỳ sự liên quan nào đến các cuộc tấn công như vậy, với phát ngôn viên Alireza Miryousefi tuyên bố rằng "Chính phủ Iran không tham gia vào chiến tranh mạng", nói thêm "Các hoạt động mạng mà Iran tham gia hoàn toàn là phòng thủ và để bảo vệ chống lại các cuộc tấn công tiếp theo vào Cơ sở hạ tầng của Iran. "

Gilead đã tuân theo chính sách của công ty về việc thảo luận các vấn đề an ninh mạng và từ chối bình luận. Gần đây, công ty đã nhận được nhiều sự chú ý vì đây là nhà sản xuất thuốc kháng vi-rút remdesivir, hiện là phương pháp điều trị duy nhất được chứng minh là có thể giúp bệnh nhân bị nhiễm COVID-19. Gilead cũng là một trong những công ty đi đầu trong việc nghiên cứu và phát triển phương pháp điều trị căn bệnh chết người, trở thành mục tiêu hàng đầu cho các nỗ lực thu thập thông tin tình báo.

Loading...