APT35

APT35 Descripción

ataques de grupo de hackers apt35 El APT35 (Advanced Persistent Threat) es un grupo de piratería que se cree que se originó en Irán. Este grupo de piratas informáticos también se conoce con otros alias: Newscaster Team, Phosphorus, Charming Kitten y Ajax Security Team. El grupo de piratería APT35 suele estar involucrado tanto en campañas con motivaciones políticas como con motivaciones financieras. El grupo de hackers APT35 tiende a concentrar sus esfuerzos contra actores involucrados en el activismo de derechos humanos, diversos medios de comunicación y el sector académico principalmente. La mayoría de las campañas se realizan en Estados Unidos, Israel, Irán y Reino Unido.

Campañas populares de APT35

Una de las operaciones APT35 más notorias es la realizada contra HBO que tuvo lugar en 2017. En ella, el APT35 filtró más de 1 TB de datos, que consistían en datos personales del personal y programas, que aún no se habían emitido oficialmente. Otra campaña infame de APT35 que los puso en el mapa es la que también involucró a un desertor de la Fuerza Aérea de EE. UU. La persona en cuestión ayudó a APT35 a obtener acceso a datos gubernamentales clasificados. En 2018, el grupo APT35 creó un sitio web que pretendía imitar a una empresa de ciberseguridad israelí legítima. La única diferencia era que el sitio web falso tenía un nombre de dominio ligeramente alterado. Esta campaña ayudó a APT35 a obtener los datos de inicio de sesión de algunos de los clientes de la empresa. La última campaña infame que involucra a APT35 se llevó a cabo en diciembre de 2018. En esta operación, el grupo APT35 operó bajo el alias de Charming Kitten. Esta operación tuvo como objetivo a varios activistas políticos que tenían influencia en las sanciones económicas, así como en las sanciones militares impuestas a Irán en ese momento. El grupo APT35 se hizo pasar por profesionales de alto nivel involucrados en los mismos campos que sus objetivos. Los atacantes utilizaron correos electrónicos de phishing personalizados que contenían archivos adjuntos falsos, así como perfiles de redes sociales falsos.

Phishing con correos electrónicos de entrevistas falsas

Las campañas de phishing dirigidas son parte del modus operandi de Charming Kitten, y los piratas informáticos utilizan correos electrónicos falsos e ingeniería social como métodos de ejecución. En una campaña de 2019, el grupo Charming Kitten se hizo pasar por experiodistas del Wall Street Journal (WSJ) y se acercó a sus posibles víctimas con una entrevista falsa. El grupo también ha sido visto utilizando diferentes escenarios, como "Entrevista de CNN" e "Invitación a un seminario web de Deutsche Welle", generalmente en torno a temas de asuntos iraníes e internacionales.

En un caso particular, los atacantes crearon un correo electrónico falso en árabe, utilizando la identidad de Farnaz Fassihi, actualmente periodista del New York Times, que anteriormente había trabajado para The Wall Street Journal durante 17 años. Curiosamente, los piratas informáticos presentaron a Farnaz Fassihi trabajando para su antiguo empleador, The Wall Street Journal.


Correo electrónico de solicitud de entrevista falso - Fuente: blog.certfa.com

Traducción de correo electrónico:

Hola *** ***** ******
Mi nombre es Farnaz Fasihi. Soy periodista del periódico Wall Street Journal.
El equipo de Medio Oriente del WSJ tiene la intención de presentar personas no locales exitosas en países desarrollados. Sus actividades en los campos de la investigación y la filosofía de la ciencia me llevaron a presentarlo como un exitoso iraní. El director del equipo de Oriente Medio nos pidió concertar una entrevista contigo y compartir algunos de tus importantes logros con nuestra audiencia. Esta entrevista podría motivar a la juventud de nuestro querido país a descubrir sus talentos y avanzar hacia el éxito.
No hace falta decir que esta entrevista es un gran honor para mí personalmente y le insto a que acepte mi invitación para la entrevista.
Las preguntas están diseñadas profesionalmente por un grupo de mis colegas y la entrevista resultante se publicará en la sección Entrevista semanal del WSJ. Te enviaré las preguntas y requisitos de la entrevista en cuanto aceptes.
*Nota al pie: No local se refiere a personas que nacieron en otros países.
Gracias por su amabilidad y atención.
Farnaz Fasihi

Todos los enlaces contenidos en los correos electrónicos tenían un formato de URL abreviado, que los piratas informáticos usaban para guiar a sus víctimas a direcciones legítimas, mientras recopilaban información esencial sobre sus dispositivos, como el sistema operativo, el navegador y la dirección IP. Los piratas informáticos necesitaban esta información en preparación para el ataque principal a sus objetivos.


Muestra de página falsa de WSJ alojada en Google Sites - Fuente: blog.certfa.com

Después de establecer una confianza relativa con el objetivo previsto, los piratas informáticos les enviarían un enlace único, que supuestamente contiene las preguntas de la entrevista. Según las muestras analizadas por el Equipo de Respuesta a Emergencias Informáticas en Farsi (CERTFA), los atacantes están utilizando un método relativamente nuevo que ha ganado mucha popularidad entre los phishers durante el año pasado: alojar páginas en Google Sites.

Una vez que la víctima haga clic en el botón "Descargar" en la página del sitio de Google, será redirigido a otra página falsa que intentará recopilar las credenciales de inicio de sesión para su dirección de correo electrónico y su código de autenticación de dos factores, utilizando kits de phishing como Modlishka.

Malware DownPaper de APT35

La herramienta DownPaper es un troyano de puerta trasera, que se usa principalmente como una carga útil de primera etapa y tiene la capacidad de:

  • Establezca una conexión con el servidor C&C (Command & Control) del atacante y reciba comandos y cargas dañinas, que se ejecutarán en el host infiltrado.
  • Obtenga persistencia manipulando el Registro de Windows.
  • Recopile información sobre el sistema comprometido, como datos de hardware y software.
  • Ejecute comandos CMD y PowerShell.

El grupo de hackers APT35 es un grupo de individuos muy persistente, y es poco probable que planeen detener sus actividades en el corto plazo. Teniendo en cuenta que el clima político en torno a Irán se ha estado calentando durante un tiempo, es probable que sigamos escuchando sobre las campañas del grupo APT35 en el futuro.

Actualización del 10 de mayo de 2020: APT35 involucrado en la campaña de piratería de COVID-19

Un conjunto de archivos web disponibles públicamente revisados por expertos en seguridad cibernética reveló que el grupo de piratería iraní conocido como Charming Kitten, entre otros nombres, estuvo detrás de un ataque cibernético en abril contra la compañía farmacéutica con sede en California Gilead Sciences Inc involucrada en la investigación de COVID-19.

En uno de los casos que encontraron los investigadores de seguridad, los piratas informáticos utilizaron una página de inicio de sesión de correo electrónico falsa que fue diseñada específicamente para robar contraseñas de un alto ejecutivo de Gilead, involucrado en asuntos corporativos y legales. El ataque se encontró en un sitio web que se usa para escanear direcciones web en busca de actividad maliciosa, pero los investigadores no pudieron determinar si tuvo éxito.

Tendencias de grupos de hackers aptos.
Gráfico de tendencias de grupos de hackers APT - Fuente: Securitystack.co

Uno de los analistas que investigó el ataque fue Ohad Zaidenberg de la firma de ciberseguridad israelí ClearSky. Comentó que el ataque de abril contra Gilead fue un esfuerzo por comprometer las cuentas de correo electrónico corporativas con un mensaje que suplantaba la investigación de un periodista. Otros analistas, que no estaban autorizados a comentar públicamente, han confirmado desde entonces que el ataque utilizó dominios y servidores que fueron utilizados anteriormente por el grupo de piratería iraní conocido como Charming Kitten.

La misión diplomática de Irán ante las Naciones Unidas ha negado cualquier participación en tales ataques , y el portavoz Alireza Miryousefi afirmó que "el gobierno iraní no participa en la guerra cibernética", y agregó que "las actividades cibernéticas en las que participa Irán son puramente defensivas y para protegerse contra nuevos ataques contra infraestructura iraní".

países objetivo irán atacantes
Países objetivo de las recientes campañas cibernéticas iraníes - Fuente: Stratfor.com

Gilead ha seguido la política de la empresa sobre la discusión de asuntos de ciberseguridad y se negó a comentar. La compañía ha recibido mucha atención recientemente, ya que es el fabricante del medicamento antiviral remdesivir, que actualmente es el único tratamiento probado para ayudar a los pacientes infectados con COVID-19. Gilead también es una de las empresas que lidera la investigación y el desarrollo de un tratamiento para la enfermedad mortal, lo que la convierte en un objetivo principal para los esfuerzos de recopilación de inteligencia.