多設備許可證(批量折扣)
Threat Database Advanced Persistent Threat (APT) 迷人小貓 APT

迷人小貓 APT

Advanced Persistent Threat (APT)GoldSparrow
翻譯為:
漢語

Charming Kitten,也稱為APT35 ,是一個高級持續性威脅,是一個疑似與伊朗有聯繫的黑客組織。該組織還有其他名稱:Phosphorus、Ajax Security Team 和 Newscaster Team。據觀察,迷人的小貓有出於政治動機的活動,但也有出於經濟原因的活動。他們的目標是人權活動家、媒體組織和學術界。他們的大部分活動都在推動對英國、美國、伊朗和以色列的襲擊。

迷人的小貓活動

黑客組織在 2017 年對 HBO 進行了一次更大規模的行動。網絡犯罪分子洩露了大約 1 TB 的數據,其中包含公司員工、即將上映的節目等的個人信息。 Charming Kitten(又名 APT35)發起的其他攻擊包括通過美國空軍叛逃者訪問詳細數據,以及欺騙以色列網絡安全公司的網站以竊取登錄詳細信息。將他們與伊朗聯繫在一起的襲擊是 2018 年針對影響針對該國製裁的政治活動家的一次行動。 Charming Kitten 特工使用帶有惡意附件的網絡釣魚電子郵件和社交工程來偽裝成高級專業人士。

迷人小貓的伊朗角度

有針對性的網絡釣魚活動是 APT35(迷人小貓)開展業務的方式的一部分,正如他們 2019 年旨在冒充前《華爾街日報》記者的活動中所見。他們用這種方法將爪子伸向受害者,承諾接受采訪或邀請參加網絡研討會,通常是關於當時伊朗和國際事務的話題。
在其中一個案例中,攻擊者用假冒的身份用阿拉伯語編寫了一封電子郵件,模仿了現實生活中的 Farnaz Fassihi,他是一名為該出版物工作了 17 年的前華爾街日報員工。迷人的小貓特工將這個假角色描述為仍在為《華爾街日報》工作。

虛假的面試請求。來源:blog.certfa.com

郵件內容如下:

你好 *** ***** ******
我叫法納茲·法西希。我是華爾街日報的記者。
《華爾街日報》的中東團隊打算在發達國家引進成功的非本地人士。你在研究和科學哲學領域的活動讓我把你介紹為一個成功的伊朗人。中東團隊的負責人要求我們安排對您的採訪,並與我們的聽眾分享您的一些重要成就。這次採訪可以激勵我們熱愛的國家的年輕人發現他們的才能並走向成功。
不用說,這次採訪對我個人來說是一種莫大的榮幸,我懇請您接受我的採訪邀請。
這些問題是由我的一群同事專業設計的,最終的採訪將發表在《華爾街日報》的每週採訪部分。你一接受,我會第一時間把麵試的問題和要求發給你。
*腳註:非本地是指出生在其他國家的人。
感謝您的善意和關注。
法納茲·法西希

電子郵件中的鏈接採用短 URL 格式,通常被威脅者用來偽裝其背後的合法鏈接,旨在收集 IP 地址、瀏覽器和操作系統版本等的數據。通過反复溝通建立信任並為採取行動的時刻做好準備,這有助於為進一步的攻擊鋪平道路。

一旦隨著時間的推移建立信任,黑客就會發送一個包含所謂面試問題的鏈接。波斯語計算機應急響應小組 (CERTFA) 樣本顯示,攻擊者使用的是近年來網絡釣魚者使用的一種方法,其中包含 Google 協作平台託管的頁面。

一旦受害者打開鏈接,他們可能會被重定向到另一個虛假頁面,該頁面試圖通過使用網絡釣魚工具包記錄他們的登錄憑據和雙重身份驗證代碼。

迷人小貓操作總結

2015 年,研究人員發現了第一波網絡釣魚攻擊,隨後 ClearSky 的研究人員在 2016 年至 2017 年期間發現了大規模的間諜活動。 Charming Kitten 操作員使用假冒、魚叉式網絡釣魚和水坑攻擊。

2018 年,Charming Kitten 網絡犯罪分子通過一個冒充安全公司門戶的欺詐網站追捕 ClearSky。那一年,通過虛假電子郵件活動和虛假網站發現了更多針對中東目標的攻擊。

2019 年,迷人的小貓 (APT35) 活動擴大了針對美國、中東和法國的非伊朗人的活動,針對他們最初所追求的學術惡魔之外的公眾人物。他們開始在他們的電子郵件通信中附加一個跟踪器,以跟踪轉發到其他帳戶的電子郵件,以獲取地理位置數據。

>>>2020 年 5 月 10 日更新 - APT35(迷人小貓)參與 COVID-19 黑客活動

網絡安全專家審查的一組公開網絡檔案顯示,伊朗黑客組織 Charming Kitten 等人在 4 月對參與 COVID-19 研究的加利福尼亞州吉利德科學公司的製藥公司發起了網絡攻擊。

在安全研究人員遇到的一個例子中,黑客使用了一個偽造的電子郵件登錄頁面,該頁面專門用於竊取參與公司和法律事務的吉利德高管的密碼。該攻擊是在一個用於掃描網址以查找惡意活動的網站上發現的,但研究人員無法確定它是否成功。
研究這次攻擊的分析師之一是以色列網絡安全公司 ClearSky 的 Ohad Zaidenberg。他評論說,4 月份針對 Gilead 的攻擊是為了通過冒充記者調查的消息來破壞公司電子郵件帳戶。其他未被授權公開發表評論的分析師後來證實,這次攻擊使用了伊朗黑客組織 Charming Kitten 之前使用的域和服務器。

傾向於黑客團體

趨勢 APT 黑客組圖表 - 來源:Securitystack.co

伊朗駐聯合國外交使團否認參與此類攻擊,發言人 Alireza Miryousefi 表示“伊朗政府不參與網絡戰”,並補充說“伊朗參與的網絡活動純粹是防禦性的,旨在防止對伊朗的基礎設施。”

吉利德遵循公司關於討論網絡安全問題的政策,拒絕置評。該公司最近備受關注,因為它是抗病毒藥物瑞德西韋的製造商,這是目前唯一被證明可以幫助感染 COVID-19 的患者的治療方法。吉利德也是領先研發治療這種致命疾病的公司之一,使其成為情報收集工作的主要目標。

熱門

“YouPorn”電子郵件詐騙

Spam
在對“YouPorn”電子郵件進行徹底檢查後,網絡安全專家確認了其欺詐性質。這些電子郵件是各種垃圾郵件變體的一部分,所有這些都類似於性勒索策略。 這些欺騙性電子郵件的共同點是捏造斷言,即收件人涉嫌參與 YouPorn 網站上最近發布的露骨色情材料。然後,這些電子郵件會提供多種付款選項,用於刪除所述內容並防止將來上傳。 必須強調的是,這些電子郵件中提出的所有主張都是毫無根據的,並且此信件與合法的 YouPorn 網站沒有任何關係。 “YouPorn”電子郵件騙局旨在通過虛假聲明嚇唬用戶 “YouPorn”垃圾郵件的某些變體的主題行是“緊急:上傳內容通知”。這些欺詐性消息聲稱 YouPorn 的人工智能驅動工具已檢測到收件人存在於露骨色情材料中。此聲明是作為一種安全措施提出的,因為傳播未經同意的圖像或視頻違反了 YouPorn 的政策。...

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng 是一種瀏覽器擴展,它操縱用戶 Web 瀏覽器的搜索功能,將其搜索重定向到不需要的搜索引擎。這種侵入性軟件被稱為瀏覽器劫持者,它會更改瀏覽器的默認搜索引擎設置,迫使其使用 safesearcheng.com。像 Safe Search Eng 這樣的瀏覽器劫持者可能會嚴重影響設備上的瀏覽體驗。 像安全搜索引擎這樣的瀏覽器劫持者通常會導致隱私問題...

最受關注

如何修復“打印機驅動程序不可用”錯誤

Issue
22,661
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

Issue
21,818
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...
加載中...