APT35

Description de APT35

Attaques de groupe de pirates apt35 L'APT35 (Advanced Persistent Threat) est un groupe de piratage qui serait originaire d'Iran. Ce groupe de piratage est également connu sous plusieurs autres pseudonymes – Newscaster Team, Phosphorus, Charming Kitten et Ajax Security Team. Le groupe de piratage APT35 est généralement impliqué à la fois dans des campagnes à motivation politique et à motivation financière. Le groupe de piratage APT35 a tendance à concentrer ses efforts contre les acteurs impliqués dans l'activisme des droits de l'homme, diverses organisations médiatiques et le secteur universitaire principalement. La plupart des campagnes sont menées aux États-Unis, en Israël, en Iran et au Royaume-Uni.

Campagnes APT35 populaires

L'une des opérations APT35 les plus notoires est celle menée contre HBO qui a eu lieu en 2017. Dans celle-ci, l'APT35 a divulgué plus de 1 To de données, qui consistaient en des détails personnels du personnel et des émissions, qui n'avaient pas encore été diffusées officiellement. Une autre tristement célèbre campagne APT35 qui les a mis sur la carte est celle qui impliquait également un transfuge de l'US Air Force. L'individu en question a aidé APT35 à accéder à des données gouvernementales classifiées. En 2018, le groupe APT35 a créé un site Web destiné à imiter une société de cybersécurité israélienne légitime. La seule différence était que le faux site Web avait un nom de domaine légèrement modifié. Cette campagne a aidé l'APT35 à obtenir les informations de connexion de certains clients de l'entreprise. La dernière campagne tristement célèbre impliquant l'APT35 a été réalisée en décembre 2018. Dans cette opération, le groupe APT35 a opéré sous le pseudonyme Charming Kitten. Cette opération visait divers militants politiques qui avaient une influence sur les sanctions économiques, ainsi que sur les sanctions militaires imposées à l'Iran à l'époque. Le groupe APT35 se pose en professionnels de haut niveau intervenant dans les mêmes domaines que leurs cibles. Les attaquants ont utilisé des e-mails de phishing personnalisés contenant de fausses pièces jointes, ainsi que de faux profils de réseaux sociaux.

Hameçonnage avec de faux e-mails d'entretien

Les campagnes de phishing ciblées font partie du mode opératoire de Charming Kitten, les pirates utilisant de faux e-mails et l'ingénierie sociale comme méthodes d'exécution. Dans une campagne de 2019, le groupe Charming Kitten s'est fait passer pour d'anciens journalistes du Wall Street Journal (WSJ) et a approché leurs victimes avec un faux scénario d'interview. Le groupe a également été repéré en utilisant différents scénarios, tels que '' CNN Interview '' et '' Invitation à un webinaire Deutsche Welle '', généralement autour de sujets d'affaires iraniennes et internationales.

Dans un cas particulier, les attaquants ont créé un faux e-mail en arabe, en utilisant l'identité de Farnaz Fassihi, actuellement journaliste au New York Times, qui avait auparavant travaillé pour le Wall Street Journal pendant 17 ans. Chose intéressante, les pirates ont présenté Farnaz Fassihi comme travaillant pour son ancien employeur, le Wall Street Journal.


Faux e-mail de demande d'entretien - Source : blog.certfa.com

Traduction des e-mails :

Bonjour *** ***** ******
Je m'appelle Farnaz Fasihi. Je suis journaliste au journal Wall Street Journal.
L'équipe du Moyen-Orient du WSJ a l'intention d'introduire des individus non locaux qui réussissent dans les pays développés. Vos activités dans les domaines de la recherche et de la philosophie des sciences m'ont amené à vous présenter comme un Iranien à succès. Le directeur de l'équipe Moyen-Orient nous a demandé d'organiser une interview avec vous et de partager certaines de vos réalisations importantes avec notre public. Cette entrevue pourrait motiver les jeunes de notre cher pays à découvrir leurs talents et à cheminer vers le succès.
Inutile de dire que cette interview est un grand honneur pour moi personnellement, et je vous exhorte à accepter mon invitation à l'interview.
Les questions sont conçues de manière professionnelle par un groupe de mes collègues et l'interview qui en résulte sera publiée dans la section Interview hebdomadaire du WSJ. Je vous enverrai les questions et les exigences de l'entretien dès que vous accepterez.
*Note de bas de page : Non local fait référence aux personnes nées dans d'autres pays.
Merci pour votre gentillesse et votre attention.
Farnaz Fasihi

Tous les liens contenus dans les e-mails étaient au format URL raccourci, qui était utilisé par les pirates pour guider leur victime vers des adresses légitimes, tout en recueillant des informations essentielles sur leurs appareils, telles que le système d'exploitation, le navigateur et l'adresse IP. Ces informations étaient nécessaires aux pirates pour préparer l'attaque principale contre leurs cibles.


Exemple de fausse page WSJ hébergée sur Google Sites - Source : blog.certfa.com

Après avoir établi une confiance relative avec la cible visée, les pirates leur enverraient un lien unique, qui contiendrait les questions de l'entretien. Selon des échantillons testés par l'équipe d'intervention d'urgence informatique en farsi (CERTFA), les attaquants utilisent une méthode relativement nouvelle qui a gagné en popularité auprès des hameçonneurs au cours de l'année écoulée, en hébergeant des pages sur Google Sites.

Une fois que la victime clique sur le bouton "Télécharger" sur la page du site Google, elle sera redirigée vers une autre fausse page qui tentera de récupérer les identifiants de connexion pour son adresse e-mail et son code d'authentification à deux facteurs, en utilisant des kits de phishing comme Modlishka.

Logiciel malveillant DownPaper d'APT35

L'outil DownPaper est un cheval de Troie de porte dérobée, qui est principalement utilisé comme charge utile de première étape et a les capacités de :

  • Établissez une connexion avec le serveur C&C (Command & Control) de l'attaquant et recevez des commandes et des charges utiles nuisibles, qui doivent être exécutées sur l'hôte infiltré.
  • Gagnez en persévérance en altérant le registre Windows.
  • Rassemblez des informations sur le système compromis, telles que des données matérielles et logicielles.
  • Exécutez les commandes CMD et PowerShell.

Le groupe de piratage APT35 est un groupe d'individus très persistant, et il est peu probable qu'il envisage d'arrêter ses activités de si tôt. Gardant à l'esprit que le climat politique autour de l'Iran se réchauffe depuis un certain temps, il est probable que nous continuerons d'entendre parler des campagnes du groupe APT35 à l'avenir.

Mise à jour du 10 mai 2020 - APT35 impliqué dans la campagne de piratage COVID-19

Un ensemble d'archives Web accessibles au public examinées par des experts en cybersécurité a révélé que le groupe de piratage iranien connu sous le nom de Charming Kitten, entre autres noms, était à l'origine d'une cyberattaque en avril contre la société pharmaceutique californienne Gilead Sciences Inc impliquée dans la recherche sur le COVID-19.

Dans l'un des cas rencontrés par les chercheurs en sécurité, les pirates ont utilisé une fausse page de connexion par e-mail spécialement conçue pour voler les mots de passe d'un haut dirigeant de Gilead, impliqué dans les affaires juridiques et d'entreprise. L'attaque a été trouvée sur un site Web utilisé pour analyser les adresses Web à la recherche d'activités malveillantes, mais les chercheurs n'ont pas été en mesure de déterminer si elle a réussi.

tendances des groupes de hackers apt
Tableau des tendances des groupes de pirates APT - Source : Securitystack.co

L'un des analystes qui a étudié l'attaque était Ohad Zaidenberg de la société israélienne de cybersécurité ClearSky. Il a commenté que l'attaque d'avril contre Gilead était un effort pour compromettre les comptes de messagerie d'entreprise avec un message qui se faisait passer pour une enquête de journaliste. D'autres analystes, qui n'étaient pas autorisés à commenter publiquement, ont depuis confirmé que l'attaque utilisait des domaines et des serveurs qui étaient auparavant utilisés par le groupe de piratage iranien connu sous le nom de Charming Kitten.

La mission diplomatique de l'Iran auprès des Nations Unies a nié toute implication dans de telles attaques , le porte-parole Alireza Miryousefi déclarant que "le gouvernement iranien ne s'engage pas dans la cyberguerre", ajoutant que "les cyberactivités dans lesquelles l'Iran s'engage sont purement défensives et pour se protéger contre de nouvelles attaques sur Infrastructures iraniennes."

pays ciblés attaquants iraniens
Pays ciblés dans les récentes cyber-campagnes iraniennes - Source : Stratfor.com

Gilead a suivi la politique de l'entreprise en matière de discussion sur les questions de cybersécurité et a refusé de commenter. La société a reçu beaucoup d'attention récemment, car elle est le fabricant du médicament antiviral remdesivir, qui est actuellement le seul traitement prouvé pour aider les patients infectés par le COVID-19. Gilead est également l'une des sociétés à la tête de la recherche et du développement d'un traitement contre cette maladie mortelle, ce qui en fait une cible de choix pour les efforts de collecte de renseignements.