Во время рождественских праздников и в начале нового года группировка "Charming Kitten", поддерживаемые государством иранские хакеры, начали целевую фишинговую кампанию шпионажа против различных лиц для сбора информации.
"Charming Kitten", также известный как APT35 и Phosphorus, является одной из хакерских группировок, поддерживаемых Исламской Республикой Иран. Группа начала новые атаки во время, когда большинство компаний, офисов, организаций и т. д. Были либо закрыты, либо наполовину закрыты во время рождественских праздников, и, как следствие, их отделы технической поддержки и ИТ не могли немедленно проверить, выявлять и нейтрализовать эти киберинциденты. "Charming Kitten" в полной мере воспользовался этим моментом, чтобы провести свою новую кампанию с максимальным эффектом.
Обзор примеров этой фишинг-кампании показывает, что злоумышленники сосредоточили свои атаки на учетных записях отдельных лиц в интернете, особенно на личные электронные письма (Gmail, Yahoo! и Outlook) и деловые электронные письма (электронные письма организаций и университетов). Получив доступ к учетным данным учетных записей, они крадут конфиденциальные данные своих жертв.
Кроме того, на основе собранных данных ясно, что "Charming Kitten" специально выбирали свои цели из членов аналитических центров, центров политических исследований, университетских профессоров, журналистов и активистов-экологов в странах Персидского залива, в Европе и США. Наши наблюдения показывают, что эта фишинговая кампания является продолжением других кампаний Charming Kitten, начатых в третьем и четвертом кварталах 2020 года.
Детали атак
Наше исследование полученных образцов показывает, что хакеры обычно используют два основных метода «Отправка поддельных SMS» и «Отправка поддельных электронных писем» для выполнения своих атак. Также важно отметить, что, используя эти два метода, злоумышленники стараются не оставлять никаких следов и, даже получив доступ к учетным записям своих жертв, они не блокируют доступ жертв к своим собственным учетным записям.
Метод №1: поддельные SMS.
Как и во многих других фишинговых атаках, в этой фишинговой кампании Charming Kitten использует поддельное SMS (рис. 1), чтобы обмануть своих жертв. Они отправляют своим целям подтверждающие сообщения о «восстановлении аккаунта Google»; они утверждают, что эти сообщения отправляются Google, и пользователь должен перейти по ссылке в SMS, чтобы подтвердить личность.
Самым важным моментом в этом методе является структура ссылки в SMS, которая кажется нормальной:
hxxps://www.google[.]com/url?q=https://script.google.com/xxxx.
На первый взгляд, эти ссылки вызывают меньше подозрений у целей. После открытия ссылок и нескольких перенаправлений жертвы попадают в конечные фишинговые домены, такие как «mobile[.]recover-session-service[.]site» И т. д. Более подробная информация об этой технике доступна в разделе «Цепочка перенаправления».
Метод № 2: Поддельные письма
Другой метод, используемый в этой фишинговой кампании, - это отправка поддельных электронных писем с обманчивыми заголовками, такими как «С Рождеством, и отправка заметок / книг / фотографий и других», которые обычно отправляются ранее взломанными электронными письмами.
На рисунке 2 показано одно из таких фишинговых писем, в котором злоумышленники сердечно приглашают цель открыть ссылку в теле письма. Для этого "Charming Kitten" использовал тему «Новогоднее поздравление» с убедительными предложениями, такими как «В этом году я решил порадовать своих друзей своей последней книгой. Вот мой особый рождественский подарок для тебя. в теле письма. Сравнивая рисунок 2 с рисунком 1, становится ясно, что структура ссылки аналогична ссылкам, используемым в поддельном SMS.
Мы считаем, что Charming Kitten постоянно пробует разные стили электронной почты, чтобы как можно быстрее поймать своих жертв. Например, на рисунке 3 показано другое поддельное электронное письмо, которое было отправлено той же жертве через день после первого электронного письма (рисунок 2).
Цепочка перенаправления
Использование и вооружение законных и заслуживающих доверия сервисов для сокрытия деструктивных намерений - один из методов, используемых хакерами в некоторых фишинговых кампаниях.
Эта техника стала важной в недавней кампании Charming Kitten. Наши последние расследования показывают, что эта иранская хакерская группа сосредоточилась на этом методе в течение последних двух лет. Например, Очаровательный котенок превратил сайт site.google.com 1 в оружие в 2019 году и script.google.com в этой кампании.
Наше исследование показывает, что хакеры использовали в этой кампании сочетание сервисов, таких как «script.google.com» и «************», чтобы создать цепочку перенаправления для сокрытия своих хакерских операций. Ссылки перенаправления сначала помогают обойти уровни безопасности в службах электронной почты, а затем предоставляют злоумышленникам больше возможностей для перенаправления цели на конечный URL.
На рисунке 4 показан экспериментальный пример функции каждого звена в методе цепочки переадресации.
Бесконечное количество различных типов фишинговых атак
Наше расследование показывает, что «Очаровательный котенок» нацелился на разных людей и организации в относительно разных областях. Например, исходя из наших первоначальных выводов, хакеры используют такие доменные имена, как mail-newyorker [.] Com, news12 [.] Com [.] Recovery-session-service [.] Site, с намерением атаковать «жителя Нью-Йорка» »Читатели интернет-журнала и сотрудники телеканала« Новости 12 Сети »и их аудитория.
Charming Kitten ранее использовал тот же метод, используя такие имена, как Wall Street Journal1, CNN2, Deutsche Welle3 и т. д.
Перевод:
Спасибо за вашу статью. Это было фантастически, и мне это понравилось. Фотографии и содержание были очень интересными. Поздравляю! На самом деле мы ездили в этот район с моими друзьями пару лет назад, сделали несколько хороших снимков в этом месте и нашли кое-что интересное, чего я не увидел в вашей статье. Думаю, вы поймете, если увидите мои фотографии и содержание. Я поделюсь этим для вас здесь.
Спасибо за вашу статью. Это было фантастически, и мне это понравилось. Фотографии и содержание были очень интересными. Поздравляю! На самом деле мы ездили в этот район с моими друзьями пару лет назад, сделали несколько хороших снимков в этом месте и нашли кое-что интересное, чего я не увидел в вашей статье. Думаю, вы поймете, если увидите мои фотографии и содержание. Я поделюсь этим для вас здесь.
Инфраструктура и история
Мы рассмотрели и сопоставили пять общих индикаторов для оценки и анализа инфраструктуры, используемой Charming Kitten (рис. 9). Эта инфраструктура использовалась в основном в третьем и четвертом кварталах 2020 года:
Обратный поиск IP / DNS и сопоставление истории с другими общими индикаторами
Совпадение общего IP или диапазона IP CIDR
Использование нетрадиционных TLD (например, .site) и защита WHOIS
Использование вводящих в заблуждение слов, таких как сеанс, подтверждение, восстановление, проверка, обслуживание и т. Д., В именах URL-адресов, а также субдоменов.
Параллельное использование динамического DNS, такого как ddns.net, за короткий период времени, имеющего временное соответствие с другими индикаторами
Сопоставление этих индикаторов показывает, что Charming Kitten был постоянно активен в последние месяцы и совершал другие атаки на момент написания этого отчета.
Изучая связанные модели активности Charming Kitten и информацию об инфраструктуре, используемой этой хакерской группой, мы полагаем, что масштабы и масштабы этой кампании значительны по сравнению с предыдущей деятельностью Charming Kitten.
Заключение и рекомендации
Это расследование касается только одного аспекта деятельности поддерживаемой Ираном хакерской группы в последние месяцы; размах и масштабы этой кампании были непредсказуемыми. Мы можем сделать вывод, что Charming Kitten использовал сложные методы для получения доступа к лицам и организациям, в которых заинтересованы иранские спецслужбы.
Чтобы защитить себя от этих атак, мы настоятельно рекомендуем использовать безопасные и безопасные методы аутентификации, такие как двухфакторная аутентификация с ключами безопасности, такими как YubiKey8, для ваших учетных записей в Интернете.
Как обычно, мы настоятельно рекомендуем не переходить по неизвестным ссылкам, внимательно просматривать любые URL-адреса перед вводом учетных данных, а также не загружать и не запускать неизвестные файлы на мобильных, персональных или рабочих компьютерах. Эти меры могут значительно защитить людей, которые являются объектами подобных кампаний.
Важно отметить, что основные случаи, упомянутые в этом отчете, относятся к последней фишинг-кампании Charming Kitten, и что эта кампания значительно активизировалась в последние дни.
- 54.37.164[.]254
- 109.202.99[.]98
- 134.19.188[.]242
- 134.19.188[.]243
- 134.19.188[.]244
- 134.19.188[.]246
- 185.23.214[.]188
- 213.152.176[.]205
- 213.152.176[.]206
- 146.59.185[.]15
- 146.59.185[.]19
- 185.23.214[.]187
- com-254514785965[.]site
- mobile[.]verification[.]session[.]com-254514785965[.]site
- session[.]com-254514785965[.]site
- verification[.]session[.]com-254514785965[.]site
- www[.]com-254514785965[.]site
- com-5464825879854[.]site
- mobile[.]verify[.]service[.]com-5464825879854[.]site
- service[.]com-5464825879854[.]site
- verify[.]service[.]com-5464825879854[.]site
- www[.]com-5464825879854[.]site
- benefitsredington[.]ddns[.]net
- lonelymanshadow[.]ddns[.]net
- mobile-activity-session[.]site
- verify[.]mobile-activity-session[.]site
- www[.]mobile-activity-session[.]site
- mobile-check-activity[.]site
- www[.]mobile-check-activity[.]site
- com[.]recover-session-service[.]site
- mobile[.]recover-session-service[.]site
- news12[.]com[.]recover-session-service[.]site
- recover-session-service[.]site
- www[.]recover-session-service[.]site
- hello-planet[.]com
- mail-newyorker[.]com
- profilechangeruser[.]ddns[.]net
- www[.]service-verification[.]site
- www[.]mobile[.]service-verification[.]site
- service-verification[.]site
- mobile[.]service-verification[.]site
- mail[.]service-verification[.]site
- com[.]service-verification[.]site
- app-e[.]request[.]unlock-service[.]accounts[.]service-verification[.]site
- instagram[.]com[.]service-verification[.]site
- unlock-service[.]accounts[.]service-verification[.]site
- request[.]unlock-service[.]accounts[.]service-verification[.]site
- accounts[.]service-verification[.]site
- identifier[.]recovery-session[.]site
- recovery-session[.]site
- www[.]recovery-session[.]site
- www[.]identifier[.]recovery-session[.]site
- identifier[.]session-confirmation[.]site
- session-confirmation[.]site
- www[.]session-confirmation[.]site
- identity-session-recovery[.]site
- uniquethinksession[.]ddns[.]net
- recover-identity[.]site
- session[.]recover-identity[.]site
- www[.]recover-identity[.]site
- securelogicalrepository[.]com
- service-support[.]site
- customer-session[.]site
- planet[.]customer-session[.]site
- accounts[.]customer-session[.]site
- www[.]customer-session[.]site
- www[.]service-support[.]site
- identifier[.]service-support[.]site
- planet[.]service-support[.]site
- reset-account[.]com
- google[.]reset-account[.]com
- www[.]reset-account[.]com
- session-customer-activity[.]site
- verify[.]session-customer-activity[.]site
- www[.]session-customer-activity[.]site
- www[.]identifier-service-verify[.]site
- identifier-service-verify[.]site
- mobile[.]identifier-service-verify[.]site
- challengechampions[.]ddns[.]net
- service-verification-session[.]site
- mobile[.]service-verification-session[.]site
- www[.]service-verification-session[.]site
- chn[.]archiverepositories[.]xyz
- www[.]archiverepositories[.]xyz
- archiverepositories[.]xyz
- a[.]archiverepositories[.]xyz
- wearefirefighters[.]ddns[.]net
- basementofdarkness[.]ddns[.]net
- heisonhisway[.]ddns[.]net
- recover-session[.]site
- www[.]recover-session[.]site
- myaccount[.]recover-session[.]site
- schoolofculture[.]ddns[.]net
- customer[.]verification[.]com-3654623478192[.]site
- com-3654623478192[.]site
- customer[.]com-3654623478192[.]site
- www[.]com-3654623478192[.]site
- verification[.]com-3654623478192[.]site
- enhanceservicchecke[.]hopto[.]org
- minimumservicechek[.]ddns[.]net
- playstore[.]com-apk-6712qw123asd8awf7[.]site
- www[.]com-apk-6712qw123asd8awf7[.]site
- www[.]identifier-session-recovery[.]site
- google[.]com-apk-6712qw123asd8awf7[.]site
- play[.]google[.]com-apk-6712qw123asd8awf7[.]site
- identifier-session-recovery[.]site
- com-apk-6712qw123asd8awf7[.]site
- agentappservice[.]ddns[.]net
- www[.]com-archive[.]site
- com-archive[.]site
- patchtheschool[.]ddns[.]net
- www[.]recovery-session-service[.]site
- mobile[.]recovery-session-service[.]site
- homeinspections[.]ddns[.]net
- recovery-session-service[.]site
- deepthinkingroom[.]ddns[.]net
- randomworldcity[.]ddns[.]net
- bulk-approach[.]site
- www[.]bulk-approach[.]site
- confirm-identity[.]site
- www[.]confirm-identity[.]site
- dynamiceventmanager[.]ddns[.]net
- service-recovery[.]site
- differentintegrated[.]ddns[.]net
- verify-session-service[.]site
- yahoo[.]verify-session-service[.]site
- mail[.]yahoo[.]verify-session-service[.]site
- www[.]verify-session-service[.]site
- mobile[.]verify-session-service[.]site
- session[.]recovery-customer-service[.]site
- recovery-customer-service[.]site
- www[.]recovery-customer-service[.]site
- homedirections[.]ddns[.]net
- recovery-session-verify[.]site
- www[.]recovery-session-verify[.]site
- identifier[.]recovery-session-verify[.]site
- service-session-recovery[.]site
- mobile[.]service-session-recovery[.]site
- www[.]service-session-recovery[.]site
- planet-labs[.]site
- mail[.]com-posts6712qw12387[.]site
- video[.]instagram[.]service-recovery[.]site
- insgram[.]service-recovery[.]site
- identifier[.]service-recovery[.]site
- instagram[.]service-recovery[.]site
- www[.]planet-labs[.]site
- com-posts6712qw12387[.]site
- www[.]com-posts6712qw12387[.]site
- www[.]service-recovery[.]site
- planet-map[.]gigfa[.]com
Оригинал статьи:https://blog.certfa.com/posts/charming-kitten-christmas-gift/
Перевёл:danyrusdem
Перевёл:danyrusdem
Последнее редактирование: