APT35

APT35（Advanced Persistent Threat）は、イランを起源とするハッキンググループです。このハッキンググループは、ニュースキャスターチーム、リン、チャーミングキトン、Ajaxセキュリティチームなど、他のいくつかのエイリアスでも知られています。 APT35ハッキンググループは通常、政治的動機のキャンペーンと経済的動機のキャンペーンの両方に関与しています。 APT35ハッキンググループは、人権活動に関与するアクター、さまざまなメディア組織、および主に学術部門に対して努力を集中する傾向があります。キャンペーンのほとんどは、米国、イスラエル、イラン、英国で実施されています。

人気のAPT35キャンペーン

最も悪名高いAPT35の操作の1つは、2017年にHBOに対して行われた操作です。この操作では、APT35は、まだ正式に放送されていないスタッフの個人情報と番組で構成される1TBを超えるデータを漏洩しました。それらを地図に載せたもう1つの悪名高いAPT35キャンペーンは、米空軍の脱北者も巻き込んだキャンペーンです。問題の個人は、機密扱いの政府データにアクセスする際にAPT35を支援しました。 2018年、APT35グループは、合法的なイスラエルのサイバーセキュリティ企業を模倣することを目的としたWebサイトを構築しました。唯一の違いは、偽のWebサイトのドメイン名がわずかに変更されていることです。このキャンペーンは、APT35が会社のクライアントの一部のログイン詳細を取得するのに役立ちました。 APT35を含む最新の悪名高いキャンペーンは、2018年12月に実施されました。この作戦では、APT35グループはCharmingKittenエイリアスの下で運営されました。この作戦は、当時イランに課された軍事制裁だけでなく、経済制裁に影響を与えたさまざまな政治活動家を対象としていました。 APT35グループは、ターゲットと同じ分野に携わる高位の専門家を装っています。攻撃者は、偽の添付ファイルや偽のソーシャルメディアプロファイルを含む、カスタマイズされたフィッシングメールを使用しました。

偽のインタビューメールによるフィッシング

ターゲットを絞ったフィッシングキャンペーンは、Charming Kittenの手口の一部であり、ハッカーは実行方法として偽の電子メールとソーシャルエンジニアリングを使用しています。 2019年のあるキャンペーンでは、チャーミングな子猫グループが元ウォールストリートジャーナル（WSJ）のジャーナリストになりすまし、偽のインタビューシナリオで意図した犠牲者にアプローチしました。このグループはまた、「CNNインタビュー」や「ドイチェヴェレウェビナーへの招待」など、通常はイランや国際問題のトピックを中心に、さまざまなシナリオを使用して発見されています。

ある特定のケースでは、攻撃者は、ウォールストリートジャーナルで17年間働いていた、現在ニューヨークタイムズのジャーナリストであるファルナズファシヒの身元を使用して、アラビア語で偽の電子メールを作成しました。興味深いことに、ハッカーはファルナズ・ファシヒを以前の雇用主であるウォールストリートジャーナルで働いていると紹介しました。

偽のインタビューリクエストメール-出典：blog.certfa.com

メール翻訳：

こんにちは *** ***** ******
私の名前はFarnazFasihiです。私はウォールストリートジャーナル紙のジャーナリストです。
WSJの中東チームは、先進国で成功した非地元の個人を紹介する予定です。研究と科学哲学の分野でのあなたの活動は、私があなたを成功したイラン人として紹介するように導きました。中東チームのディレクターは、あなたとのインタビューを設定し、あなたの重要な成果のいくつかを私たちの聴衆と共有するように私たちに依頼しました。このインタビューは、私たちの愛する国の若者が彼らの才能を発見し、成功に向けて動くように動機付けることができます。
言うまでもなく、このインタビューは私にとって大きな名誉であり、インタビューへの招待を受け入れることをお勧めします。
質問は私の同僚のグループによって専門的に設計され、結果のインタビューはWSJのウィークリーインタビューセクションで公開されます。面接の質問と要件は、承諾次第お送りします。
*脚注：非ローカルとは、他の国で生まれた人々を指します。
何卒よろしくお願い申し上げます。
ファルナズ・ファシヒ

電子メールに含まれるすべてのリンクは短縮URL形式であり、ハッカーはオペレーティングシステム、ブラウザ、IPアドレスなどのデバイスに関する重要な情報を収集しながら、被害者を正当なアドレスに誘導するために使用しました。この情報は、ターゲットへの主な攻撃に備えてハッカーから必要でした。

Googleサイトでホストされている偽のWSJページのサンプル-出典：blog.certfa.com

意図したターゲットとの相対的な信頼を確立した後、ハッカーは、インタビューの質問が含まれているとされる一意のリンクを送信します。ペルシア語のコンピュータ緊急対応チーム（CERTFA）によってテストされたサンプルによると、攻撃者は比較的新しい方法を使用しており、過去1年間にフィッシング詐欺師に人気があり、Googleサイトでページをホストしています。

被害者がGoogleサイトページの[ダウンロード]ボタンをクリックすると、別の偽のページにリダイレクトされ、Modlishkaなどのフィッシングキットを使用して、メールアドレスと2要素認証コードのログイン資格情報を取得しようとします。

APT35のDownPaperマルウェア

DownPaperツールはバックドア型トロイの木馬であり、主に第1段階のペイロードとして使用され、次の機能を備えています。

• 攻撃者のC＆C（Command＆Control）サーバーとの接続を確立し、侵入したホストで実行されるコマンドと有害なペイロードを受信します。
• Windowsレジストリを改ざんすることにより、永続性を獲得します。
• ハードウェアやソフトウェアのデータなど、侵害されたシステムに関する情報を収集します。
• CMDおよびPowerShellコマンドを実行します。

APT35ハッキンググループは非常に永続的な個人のグループであり、彼らがすぐに活動を停止することを計画している可能性は低いです。イランを取り巻く政治情勢はしばらくの間熱くなっていることを念頭に置いて、今後もAPT35グループのキャンペーンについて耳を傾ける可能性があります。

2020年5月10日更新-APT35がCOVID-19ハッキングキャンペーンに関与

サイバーセキュリティの専門家によってレビューされた一連の公開されたWebアーカイブは、チャーミングキッテンとして知られるイランのハッキンググループが、COVID-19研究に関与するカリフォルニアを拠点とする製薬会社Gilead SciencesIncに対する4月のサイバー攻撃の背後にあることを明らかにしました。

セキュリティ研究者が遭遇した事例の1つでは、ハッカーは、企業および法務に関与するギリアドのトップエグゼクティブからパスワードを盗むように特別に設計された偽の電子メールログインページを使用しました。攻撃は、悪意のあるアクティビティについてWebアドレスをスキャンするために使用されるWebサイトで発見されましたが、研究者はそれが成功したかどうかを判断できませんでした。

トレンドのAPTハッカーグループチャート-出典：Securitystack.co

攻撃を調査したアナリストの1人は、イスラエルのサイバーセキュリティ会社ClearSkyのOhadZaidenbergでした。彼は、ギリアドに対する4月の攻撃は、ジャーナリストの問い合わせになりすましたメッセージで企業の電子メールアカウントを危険にさらすための努力であるとコメントしました。公にコメントすることを許可されていない他のアナリストは、その後、攻撃がチャーミングキッテンとして知られているイランのハッキンググループによって以前に使用されたドメインとサーバーを使用したことを確認しました。

イランの国連への外交使節団は、そのような攻撃への関与を否定しており、スポークスマンのAlireza Miryousefiは、「イラン政府はサイバー戦争に関与していない」と述べ、「イランが関与するサイバー活動は純粋に防御的であり、さらなる攻撃から保護する」と付け加えた。イランのインフラストラクチャ。」

最近のイランのサイバーキャンペーンの対象国-出典：Stratfor.com

Gileadは、サイバーセキュリティの問題について話し合うという会社の方針に従い、コメントを控えました。同社は、COVID-19に感染した患者を助けることが現在証明されている唯一の治療法である抗ウイルス薬レムデシビルの製造業者であるため、最近大きな注目を集めています。ギレアデはまた、致命的な病気の治療法の研究開発を主導している企業の1つであり、情報収集の取り組みの主要なターゲットとなっています。