魅力的な子猫APT

APT35としても知られる魅力的な子猫は、高度な持続的脅威であり、イランとの関係が疑われるハッカーグループです。このグループは、Phosphorus、Ajax Security Team、NewscasterTeamなどの他の名前でも知られています。魅力的な子猫は、政治的に動機付けられたキャンペーンだけでなく、経済的な理由によって動機付けられたキャンペーンも行っていることが観察されています。彼らは人権活動家、メディア組織、そして学術部門を目指しています。彼らのキャンペーンの大部分は、英国、米国、イラン、およびイスラエルへの攻撃を推進していました。

魅力的な子猫キャンペーン

ハッカーグループによって行われたより広範な操作の1つは、2017年にHBOに対して実行されました。サイバー犯罪者は、会社のスタッフの個人情報、今後のショーなどを含むテラバイトのデータについて漏洩しました。チャーミングキッテン、別名APT35によって行われた他の攻撃には、米空軍の脱北者を介した詳細データへのアクセスや、ログインの詳細を盗むためのイスラエルのサイバーセキュリティ会社のWebサイトのなりすましが含まれていました。彼らをイランに結びつけた攻撃は、イランに対する制裁に影響を与えた政治活動家を対象とした2018年の作戦でした。魅力的な子猫の工作員は、悪意のある添付ファイルとソーシャルエンジニアリングを含むフィッシングメールを使用して、高位の専門家を装いました。

魅力的な子猫のためのイランの角度

ターゲットを絞ったフィッシングキャンペーンは、元ウォールストリートジャーナルのジャーナリストになりすますことを目的とした2019年のキャンペーンで見られるように、APT35（Charming Kitten）がビジネスを行う方法の一部でした。彼らはそのアプローチを使用して、インタビューやウェビナーへの招待を約束して、犠牲者に爪を沈めました。多くの場合、当時のイランと国際問題のトピックについてでした。
これらのケースの1つでは、攻撃者は、17年間出版に携わった元ウォールストリートジャーナルの従業員である実際のファルナズファシヒを模倣した偽のIDでアラビア語の電子メールを作成しました。チャーミングな子猫の工作員は、この偽のペルソナをまだWSJで働いていると表現しました。

偽の面接依頼。ソース：blog.certfa.com

メールの内容は次のとおりです。

こんにちは *** ***** ******
私の名前はFarnazFasihiです。私はウォールストリートジャーナル紙のジャーナリストです。
WSJの中東チームは、先進国で成功した非地元の個人を紹介する予定です。研究と科学哲学の分野でのあなたの活動は、私があなたを成功したイラン人として紹介するように導きました。中東チームのディレクターは、あなたとのインタビューを設定し、あなたの重要な成果のいくつかを私たちの聴衆と共有するように私たちに依頼しました。このインタビューは、私たちの愛する国の若者が彼らの才能を発見し、成功に向けて動くように動機付けることができます。
言うまでもなく、このインタビューは私にとって大きな名誉であり、インタビューへの招待を受け入れることをお勧めします。
質問は私の同僚のグループによって専門的に設計され、結果のインタビューはWSJの週次インタビューセクションで公開されます。面接の質問と要件は、承諾次第お送りします。
*脚注：非ローカルとは、他の国で生まれた人々を指します。
何卒よろしくお願い申し上げます。
ファルナズ・ファシヒ

電子メール内のリンクは短いURL形式であり、IPアドレス、ブラウザ、OSバージョンなどのデータ収集を目的として、脅威アクターが背後にある正当なリンクを偽装するためによく使用されていました。それは、繰り返しのコミュニケーションで信頼を築き、行動する瞬間に備えることによって、さらなる攻撃への道を開くのに役立ちました。

時間の経過とともに信頼が確立されると、ハッカーはインタビューの質問を含むリンクを送信します。ペルシア語のコンピュータ緊急対応チーム（CERTFA）のサンプルは、攻撃者がGoogleサイトでホストされているページを使用して、近年フィッシング詐欺師が使用している方法を使用していることを示しています。

被害者がリンクを開くと、フィッシングキットを使用してログイン資格情報と2要素認証コードを記録しようとする別の偽のページにリダイレクトされる可能性があります。

魅力的な子猫の操作の概要

2015年にフィッシング攻撃の最初の波が研究者によって発見され、その後、2016年から2017年にかけてClearSkyの研究者によって大規模なスパイ活動が発見されました。チャーミングな子猫のオペレーターは、なりすまし、スピアフィッシング、水飲み場型攻撃を使用しました。

2018年、Charming Kittenのサイバー犯罪者は、セキュリティ会社のポータルになりすました詐欺サイトでClearSkyを追いかけました。その年、偽の電子メールキャンペーンと偽のWebサイトを使用して、中東のターゲットに対してさらに多くの攻撃が確認されました。

2019年、チャーミングキトン（APT35）の活動は、米国、中東、フランスの非イラン人をターゲットにして拡大し、当初は学界の悪党以外の公人をターゲットにしました。彼らは、ジオロケーションデータを取得することを目的として、他のアカウントに転送された電子メールを追跡するために、電子メール通信にトラッカーを添付し始めました。

>>>更新2020年5月10日-APT35（魅力的な子猫）がCOVID-19ハッキングキャンペーンに関与

サイバーセキュリティの専門家によってレビューされた一連の公開されたWebアーカイブは、チャーミングキッテンとして知られるイランのハッキンググループが、COVID-19研究に関与するカリフォルニアを拠点とする製薬会社Gilead SciencesIncに対する4月のサイバー攻撃の背後にあることを明らかにしました。

セキュリティ研究者が遭遇した事例の1つでは、ハッカーは、企業および法務に関与するギリアドの最高幹部からパスワードを盗むように特別に設計された偽の電子メールログインページを使用しました。攻撃は、悪意のあるアクティビティについてWebアドレスをスキャンするために使用されるWebサイトで発見されましたが、研究者はそれが成功したかどうかを判断できませんでした。
攻撃を調査したアナリストの1人は、イスラエルのサイバーセキュリティ会社ClearSkyのOhadZaidenbergでした。彼は、ギリアドに対する4月の攻撃は、ジャーナリストの問い合わせになりすましたメッセージで企業の電子メールアカウントを危険にさらすための努力であるとコメントしました。公にコメントすることを許可されていない他のアナリストは、その後、攻撃がチャーミングキッテンとして知られているイランのハッキンググループによって以前に使用されたドメインとサーバーを使用したことを確認しました。

トレンドのAPTハッカーグループチャート-出典：Securitystack.co

イランの国連への外交使節団は、そのような攻撃への関与を否定しており、スポークスマンのAlireza Miryousefiは、「イラン政府はサイバー戦争に関与していない」と述べ、「イランが関与するサイバー活動は純粋に防御的であり、イランのインフラストラクチャ。」

Gileadは、サイバーセキュリティの問題について話し合うという会社の方針に従い、コメントを控えました。同社は、COVID-19に感染した患者を助けることが現在証明されている唯一の治療法である抗ウイルス薬レムデシビルの製造業者であるため、最近大きな注目を集めています。ギレアデはまた、致命的な病気の治療法の研究開発を主導している企業の1つであり、情報収集の取り組みの主要なターゲットとなっています。