多设备许可证(批量折扣)
Threat Database Advanced Persistent Threat (APT) 迷人小猫 APT

迷人小猫 APT

通过GoldSparrowAdvanced Persistent Threat (APT)
翻译为:
汉语

Charming Kitten,也称为APT35 ,是一个高级持续性威胁,是一个疑似与伊朗有联系的黑客组织。该组织还有其他名称:Phosphorus、Ajax Security Team 和 Newscaster Team。据观察,迷人的小猫有出于政治动机的活动,但也有出于经济原因的活动。他们的目标是人权活动家、媒体组织和学术界。他们的大部分活动都在推动对英国、美国、伊朗和以色列的袭击。

迷人的小猫活动

黑客组织在 2017 年对 HBO 进行了一次更大规模的行动。网络犯罪分子泄露了大约 1 TB 的数据,其中包含公司员工、即将上映的节目等的个人信息。 Charming Kitten(又名 APT35)发起的其他攻击包括通过美国空军叛逃者访问详细数据,以及欺骗以色列网络安全公司的网站以窃取登录详细信息。将他们与伊朗联系在一起的袭击是 2018 年针对影响针对该国制裁的政治活动家的一次行动。 Charming Kitten 特工使用带有恶意附件的网络钓鱼电子邮件和社交工程来伪装成高级专业人士。

迷人小猫的伊朗角度

有针对性的网络钓鱼活动是 APT35(迷人小猫)开展业务的方式的一部分,正如他们 2019 年旨在冒充前《华尔街日报》记者的活动中所见。他们用这种方法将爪子伸向受害者,承诺接受采访或邀请参加网络研讨会,通常是关于当时伊朗和国际事务的话题。
在其中一个案例中,攻击者用假冒的身份用阿拉伯语编写了一封电子邮件,模仿了现实生活中的 Farnaz Fassihi,他是一名为该出版物工作了 17 年的前华尔街日报员工。迷人的小猫特工将这个假角色描述为仍在为《华尔街日报》工作。

虚假的面试请求。来源:blog.certfa.com

邮件内容如下:

你好 *** ***** ******
我叫法纳兹·法西希。我是华尔街日报的记者。
《华尔街日报》的中东团队打算在发达国家引进成功的非本地人士。你在研究和科学哲学领域的活动让我把你介绍为一个成功的伊朗人。中东团队的负责人要求我们安排对您的采访,并与我们的听众分享您的一些重要成就。这次采访可以激励我们热爱的国家的年轻人发现他们的才能并走向成功。
不用说,这次采访对我个人来说是一种莫大的荣幸,我恳请您接受我的采访邀请。
这些问题是由我的一群同事专业设计的,最终的采访将发表在《华尔街日报》的每周采访部分。你一接受,我会第一时间把面试的问题和要求发给你。
*脚注:非本地是指出生在其他国家的人。
感谢您的善意和关注。
法纳兹·法西希

电子邮件中的链接采用短 URL 格式,通常被威胁者用来伪装其背后的合法链接,旨在收集 IP 地址、浏览器和操作系统版本等的数据。通过反复沟通建立信任并为采取行动的时刻做好准备,这有助于为进一步的攻击铺平道路。

一旦随着时间的推移建立信任,黑客就会发送一个包含所谓面试问题的链接。波斯语计算机应急响应小组 (CERTFA) 样本显示,攻击者使用的是近年来网络钓鱼者使用的一种方法,其中包含 Google 协作平台托管的页面。

一旦受害者打开链接,他们可能会被重定向到另一个虚假页面,该页面试图通过使用网络钓鱼工具包记录他们的登录凭据和双重身份验证代码。

迷人小猫操作总结

2015 年,研究人员发现了第一波网络钓鱼攻击,随后 ClearSky 的研究人员在 2016 年至 2017 年期间发现了大规模的间谍活动。 Charming Kitten 操作员使用假冒、鱼叉式网络钓鱼和水坑攻击。

2018 年,Charming Kitten 网络犯罪分子通过一个冒充安全公司门户的欺诈网站追捕 ClearSky。那一年,通过虚假电子邮件活动和虚假网站发现了更多针对中东目标的攻击。

2019 年,迷人的小猫 (APT35) 活动扩大了针对美国、中东和法国的非伊朗人的活动,针对他们最初所追求的学术恶魔之外的公众人物。他们开始在他们的电子邮件通信中附加一个跟踪器,以跟踪转发到其他帐户的电子邮件,以获取地理位置数据。

>>>2020 年 5 月 10 日更新 - APT35(迷人小猫)参与 COVID-19 黑客活动

网络安全专家审查的一组公开网络档案显示,伊朗黑客组织 Charming Kitten 等人在 4 月对参与 COVID-19 研究的加利福尼亚州吉利德科学公司的制药公司发起了网络攻击。

在安全研究人员遇到的一个例子中,黑客使用了一个伪造的电子邮件登录页面,该页面专门用于窃取参与公司和法律事务的吉利德高管的密码。该攻击是在一个用于扫描网址以查找恶意活动的网站上发现的,但研究人员无法确定它是否成功。
研究这次攻击的分析师之一是以色列网络安全公司 ClearSky 的 Ohad Zaidenberg。他评论说,4 月份针对 Gilead 的攻击是为了通过冒充记者调查的消息来破坏公司电子邮件帐户。其他未被授权公开发表评论的分析师后来证实,这次攻击使用了伊朗黑客组织 Charming Kitten 之前使用的域和服务器。

倾向于黑客团体

趋势 APT 黑客组图表 - 来源:Securitystack.co

伊朗驻联合国外交使团否认参与此类攻击,发言人 Alireza Miryousefi 表示“伊朗政府不参与网络战”,并补充说“伊朗参与的网络活动纯粹是防御性的,旨在防止对伊朗的基础设施。”

吉利德遵循公司关于讨论网络安全问题的政策,拒绝置评。该公司最近备受关注,因为它是抗病毒药物瑞德西韦的制造商,这是目前唯一被证明可以帮助感染 COVID-19 的患者的治疗方法。吉利德也是领先研发治疗这种致命疾病的公司之一,使其成为情报收集工作的主要目标。

趋势

“YouPorn”电子邮件诈骗

Spam
在对“YouPorn”电子邮件进行彻底检查后,网络安全专家确认了其欺诈性质。这些电子邮件是各种垃圾邮件变体的一部分,所有这些都类似于性勒索策略。 这些欺骗性电子邮件的共同点是捏造断言,即收件人涉嫌参与 YouPorn 网站上最近发布的露骨色情材料。然后,这些电子邮件会提供多种付款选项,用于删除所述内容并防止将来上传。 必须强调的是,这些电子邮件中提出的所有主张都是毫无根据的,并且此信件与合法的 YouPorn 网站没有任何关系。 “YouPorn”电子邮件骗局旨在通过虚假声明吓唬用户 “YouPorn”垃圾邮件的某些变体的主题行是“紧急:上传内容通知”。这些欺诈性消息声称 YouPorn 的人工智能驱动工具已检测到收件人存在于露骨色情材料中。此声明是作为一种安全措施提出的,因为传播未经同意的图像或视频违反了 YouPorn 的政策。...

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng 是一种浏览器扩展,它操纵用户 Web 浏览器的搜索功能,将其搜索重定向到不需要的搜索引擎。这种侵入性软件被称为浏览器劫持者,它会更改浏览器的默认搜索引擎设置,迫使其使用 safesearcheng.com。像 Safe Search Eng 这样的浏览器劫持者可能会严重影响设备上的浏览体验。 像安全搜索引擎这样的浏览器劫持者通常会导致隐私问题...

最受关注

如何修复“打印机驱动程序不可用”错误

Issue
22,661
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

Issue
21,818
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...