迷人小猫 APT

迷人小猫 APT说明

Charming Kitten,也称为APT35 ,是一个高级持续性威胁,是一个疑似与伊朗有联系的黑客组织。该组织还有其他名称:Phosphorus、Ajax Security Team 和 Newscaster Team。据观察,迷人的小猫有出于政治动机的活动,但也有出于经济原因的活动。他们的目标是人权活动家、媒体组织和学术界。他们的大部分活动都在推动对英国、美国、伊朗和以色列的袭击。

迷人的小猫活动

黑客组织在 2017 年对 HBO 进行了一次更大规模的行动。网络犯罪分子泄露了大约 1 TB 的数据,其中包含公司员工、即将上映的节目等的个人信息。 Charming Kitten(又名 APT35)发起的其他攻击包括通过美国空军叛逃者访问详细数据,以及欺骗以色列网络安全公司的网站以窃取登录详细信息。将他们与伊朗联系在一起的袭击是 2018 年针对影响针对该国制裁的政治活动家的一次行动。 Charming Kitten 特工使用带有恶意附件的网络钓鱼电子邮件和社交工程来伪装成高级专业人士。

迷人小猫的伊朗角度

有针对性的网络钓鱼活动是 APT35(迷人小猫)开展业务的方式的一部分,正如他们 2019 年旨在冒充前《华尔街日报》记者的活动中所见。他们用这种方法将爪子伸向受害者,承诺接受采访或邀请参加网络研讨会,通常是关于当时伊朗和国际事务的话题。
在其中一个案例中,攻击者用假冒的身份用阿拉伯语编写了一封电子邮件,模仿了现实生活中的 Farnaz Fassihi,他是一名为该出版物工作了 17 年的前华尔街日报员工。迷人的小猫特工将这个假角色描述为仍在为《华尔街日报》工作。

虚假的面试请求。来源:blog.certfa.com

邮件内容如下:

你好 *** ***** ******
我叫法纳兹·法西希。我是华尔街日报的记者。
《华尔街日报》的中东团队打算在发达国家引进成功的非本地人士。你在研究和科学哲学领域的活动让我把你介绍为一个成功的伊朗人。中东团队的负责人要求我们安排对您的采访,并与我们的听众分享您的一些重要成就。这次采访可以激励我们热爱的国家的年轻人发现他们的才能并走向成功。
不用说,这次采访对我个人来说是一种莫大的荣幸,我恳请您接受我的采访邀请。
这些问题是由我的一群同事专业设计的,最终的采访将发表在《华尔街日报》的每周采访部分。你一接受,我会第一时间把面试的问题和要求发给你。
*脚注:非本地是指出生在其他国家的人。
感谢您的善意和关注。
法纳兹·法西希

电子邮件中的链接采用短 URL 格式,通常被威胁者用来伪装其背后的合法链接,旨在收集 IP 地址、浏览器和操作系统版本等的数据。通过反复沟通建立信任并为采取行动的时刻做好准备,这有助于为进一步的攻击铺平道路。

一旦随着时间的推移建立信任,黑客就会发送一个包含所谓面试问题的链接。波斯语计算机应急响应小组 (CERTFA) 样本显示,攻击者使用的是近年来网络钓鱼者使用的一种方法,其中包含 Google 协作平台托管的页面。

一旦受害者打开链接,他们可能会被重定向到另一个虚假页面,该页面试图通过使用网络钓鱼工具包记录他们的登录凭据和双重身份验证代码。

迷人小猫操作总结

2015 年,研究人员发现了第一波网络钓鱼攻击,随后 ClearSky 的研究人员在 2016 年至 2017 年期间发现了大规模的间谍活动。 Charming Kitten 操作员使用假冒、鱼叉式网络钓鱼和水坑攻击。

2018 年,Charming Kitten 网络犯罪分子通过一个冒充安全公司门户的欺诈网站追捕 ClearSky。那一年,通过虚假电子邮件活动和虚假网站发现了更多针对中东目标的攻击。

2019 年,迷人的小猫 (APT35) 活动扩大了针对美国、中东和法国的非伊朗人的活动,针对他们最初所追求的学术恶魔之外的公众人物。他们开始在他们的电子邮件通信中附加一个跟踪器,以跟踪转发到其他帐户的电子邮件,以获取地理位置数据。

>>>2020 年 5 月 10 日更新 - APT35(迷人小猫)参与 COVID-19 黑客活动

网络安全专家审查的一组公开网络档案显示,伊朗黑客组织 Charming Kitten 等人在 4 月对参与 COVID-19 研究的加利福尼亚州吉利德科学公司的制药公司发起了网络攻击。

在安全研究人员遇到的一个例子中,黑客使用了一个伪造的电子邮件登录页面,该页面专门用于窃取参与公司和法律事务的吉利德高管的密码。该攻击是在一个用于扫描网址以查找恶意活动的网站上发现的,但研究人员无法确定它是否成功。
研究这次攻击的分析师之一是以色列网络安全公司 ClearSky 的 Ohad Zaidenberg。他评论说,4 月份针对 Gilead 的攻击是为了通过冒充记者调查的消息来破坏公司电子邮件帐户。其他未被授权公开发表评论的分析师后来证实,这次攻击使用了伊朗黑客组织 Charming Kitten 之前使用的域和服务器。

倾向于黑客团体

趋势 APT 黑客组图表 - 来源:Securitystack.co

伊朗驻联合国外交使团否认参与此类攻击,发言人 Alireza Miryousefi 表示“伊朗政府不参与网络战”,并补充说“伊朗参与的网络活动纯粹是防御性的,旨在防止对伊朗的基础设施。”

吉利德遵循公司关于讨论网络安全问题的政策,拒绝置评。该公司最近备受关注,因为它是抗病毒药物瑞德西韦的制造商,这是目前唯一被证明可以帮助感染 COVID-19 的患者的治疗方法。吉利德也是领先研发治疗这种致命疾病的公司之一,使其成为情报收集工作的主要目标。