迷人小貓 APT

迷人小貓 APT

Charming Kitten,也稱為APT35 ,是一個高級持續性威脅,是一個疑似與伊朗有聯繫的黑客組織。該組織還有其他名稱:Phosphorus、Ajax Security Team 和 Newscaster Team。據觀察,迷人的小貓有出於政治動機的活動,但也有出於經濟原因的活動。他們的目標是人權活動家、媒體組織和學術界。他們的大部分活動都在推動對英國、美國、伊朗和以色列的襲擊。

迷人的小貓活動

黑客組織在 2017 年對 HBO 進行了一次更大規模的行動。網絡犯罪分子洩露了大約 1 TB 的數據,其中包含公司員工、即將上映的節目等的個人信息。 Charming Kitten(又名 APT35)發起的其他攻擊包括通過美國空軍叛逃者訪問詳細數據,以及欺騙以色列網絡安全公司的網站以竊取登錄詳細信息。將他們與伊朗聯繫在一起的襲擊是 2018 年針對影響針對該國製裁的政治活動家的一次行動。 Charming Kitten 特工使用帶有惡意附件的網絡釣魚電子郵件和社交工程來偽裝成高級專業人士。

迷人小貓的伊朗角度

有針對性的網絡釣魚活動是 APT35(迷人小貓)開展業務的方式的一部分,正如他們 2019 年旨在冒充前《華爾街日報》記者的活動中所見。他們用這種方法將爪子伸向受害者,承諾接受采訪或邀請參加網絡研討會,通常是關於當時伊朗和國際事務的話題。
在其中一個案例中,攻擊者用假冒的身份用阿拉伯語編寫了一封電子郵件,模仿了現實生活中的 Farnaz Fassihi,他是一名為該出版物工作了 17 年的前華爾街日報員工。迷人的小貓特工將這個假角色描述為仍在為《華爾街日報》工作。

虛假的面試請求。來源:blog.certfa.com

郵件內容如下:

你好 *** ***** ******
我叫法納茲·法西希。我是華爾街日報的記者。
《華爾街日報》的中東團隊打算在發達國家引進成功的非本地人士。你在研究和科學哲學領域的活動讓我把你介紹為一個成功的伊朗人。中東團隊的負責人要求我們安排對您的採訪,並與我們的聽眾分享您的一些重要成就。這次採訪可以激勵我們熱愛的國家的年輕人發現他們的才能並走向成功。
不用說,這次採訪對我個人來說是一種莫大的榮幸,我懇請您接受我的採訪邀請。
這些問題是由我的一群同事專業設計的,最終的採訪將發表在《華爾街日報》的每週採訪部分。你一接受,我會第一時間把麵試的問題和要求發給你。
*腳註:非本地是指出生在其他國家的人。
感謝您的善意和關注。
法納茲·法西希

電子郵件中的鏈接採用短 URL 格式,通常被威脅者用來偽裝其背後的合法鏈接,旨在收集 IP 地址、瀏覽器和操作系統版本等的數據。通過反复溝通建立信任並為採取行動的時刻做好準備,這有助於為進一步的攻擊鋪平道路。

一旦隨著時間的推移建立信任,黑客就會發送一個包含所謂面試問題的鏈接。波斯語計算機應急響應小組 (CERTFA) 樣本顯示,攻擊者使用的是近年來網絡釣魚者使用的一種方法,其中包含 Google 協作平台託管的頁面。

一旦受害者打開鏈接,他們可能會被重定向到另一個虛假頁面,該頁面試圖通過使用網絡釣魚工具包記錄他們的登錄憑據和雙重身份驗證代碼。

迷人小貓操作總結

2015 年,研究人員發現了第一波網絡釣魚攻擊,隨後 ClearSky 的研究人員在 2016 年至 2017 年期間發現了大規模的間諜活動。 Charming Kitten 操作員使用假冒、魚叉式網絡釣魚和水坑攻擊。

2018 年,Charming Kitten 網絡犯罪分子通過一個冒充安全公司門戶的欺詐網站追捕 ClearSky。那一年,通過虛假電子郵件活動和虛假網站發現了更多針對中東目標的攻擊。

2019 年,迷人的小貓 (APT35) 活動擴大了針對美國、中東和法國的非伊朗人的活動,針對他們最初所追求的學術惡魔之外的公眾人物。他們開始在他們的電子郵件通信中附加一個跟踪器,以跟踪轉發到其他帳戶的電子郵件,以獲取地理位置數據。

>>>2020 年 5 月 10 日更新 - APT35(迷人小貓)參與 COVID-19 黑客活動

網絡安全專家審查的一組公開網絡檔案顯示,伊朗黑客組織 Charming Kitten 等人在 4 月對參與 COVID-19 研究的加利福尼亞州吉利德科學公司的製藥公司發起了網絡攻擊。

在安全研究人員遇到的一個例子中,黑客使用了一個偽造的電子郵件登錄頁面,該頁面專門用於竊取參與公司和法律事務的吉利德高管的密碼。該攻擊是在一個用於掃描網址以查找惡意活動的網站上發現的,但研究人員無法確定它是否成功。
研究這次攻擊的分析師之一是以色列網絡安全公司 ClearSky 的 Ohad Zaidenberg。他評論說,4 月份針對 Gilead 的攻擊是為了通過冒充記者調查的消息來破壞公司電子郵件帳戶。其他未被授權公開發表評論的分析師後來證實,這次攻擊使用了伊朗黑客組織 Charming Kitten 之前使用的域和服務器。

傾向於黑客團體

趨勢 APT 黑客組圖表 - 來源:Securitystack.co

伊朗駐聯合國外交使團否認參與此類攻擊,發言人 Alireza Miryousefi 表示“伊朗政府不參與網絡戰”,並補充說“伊朗參與的網絡活動純粹是防禦性的,旨在防止對伊朗的基礎設施。”

吉利德遵循公司關於討論網絡安全問題的政策,拒絕置評。該公司最近備受關注,因為它是抗病毒藥物瑞德西韋的製造商,這是目前唯一被證明可以幫助感染 COVID-19 的患者的治療方法。吉利德也是領先研發治療這種致命疾病的公司之一,使其成為情報收集工作的主要目標。

Trending

Most Viewed

Loading...