APT35: Исчерпывающее руководство по угрозам от Charming Kitten
APT35, также известная как Charming Kitten и Phosphorus, представляет собой иранскую группу кибершпионажа, связанную с Корпусом стражей исламской революции. С момента своего появления в 2014 году, группа использует различные тактики, включая фишинг, кражу учетных данных и социальную инженерию для проникновения в разнообразные секторы по всему миру.
Методы и инструменты атаки
Деятельность APT35 отличается сложными кампаниями социальной инженерии, включая:
- Создание поддельных личностей;
- Тактики олицетворения для взаимодействия с целями на платформах социальных сетей и в электронной почте;
Любопытным инцидентом стало их участие в кибератаке на телеканал HBO в 2017 году, когда произошло утечка 1,5 терабайт данных, включая не вышедшие в эфир эпизоды Игры престолов. В 2019 году Microsoft сообщила о их попытках взлома учетных записей электронной почты, связанных с президентскими кампаниями в США.
Совершенствование методов в последних инцидентах
В 2021 году APT35 адаптировала свои методы, используя фишинговые электронные письма на тему конференций и средства для оперативной коммуникации, такие как Telegram. Группа разработала специальный инструмент HYPERSCRAPE, позволяющий извлекать данные от популярных поставщиков электронной почты, создавая сеансы как если бы они были законными пользователями.
Структура и методология атак
Методология APT35 соответствует структурированному жизненному циклу кибератак, охватывая следующие этапы:
- Разведка;
- Вооружение;
- Доставка;
- Эксплуатация;
- Установка;
- Командование и контроль;
- Эвакуация.
Группа начинает свои операции с обширного сбора разведданных из открытых источников для выявления ключевых лиц и организаций, интересующих Иран.
Технический арсенал и инфраструктура
Технический арсенал APT35 включает:
- Вредоносные документы со встроенными макросами;
- Порталы сбора учетных данных, имитирующие законные страницы входа;
- Браузерные эксплойты для перехвата сеансов.
Группа использует различные механизмы доставки атак, включая:
- Фишинговые электронные письма с персонализированными приманками;
- Подходы к социальным сетям;
- Атаки на часто посещаемые веб-сайты.
Характерно, что они эксплуатируют уязвимости в программных средах, используя трояны для удаленного доступа и средства сброса учетных данных для перемещения по сетям.
Рекомендации для организаций
В свете нарастающей угрозы от APT35, организациям рекомендуется внедрять многоуровневые средства защиты, такие как:
- Строгие меры защиты электронной почты;
- Непрерывный мониторинг;
- Стратегии реагирования на инциденты;
- Контроль доступа.
Таким образом, APT35 остается стойким хакером, использующим разнообразные тактики для кибершпионажа через изощренные фишинговые схемы и внедрение вредоносных программ. Сложность и адаптивность их методов требует от организаций надежных мер безопасности и анализа угроз для защиты от потенциальных взломов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
