原标题:APT35研讨白皮书(二)
APT35又被成为‘Charming Kitten’,是归属于伊朗的黑客安排。该安排自2014年活动以来,其方针为伊朗专家、人权活动人士和媒体人员。大多数受害者在中东、美国和英国。
2019年10月4日微软宣告发现该安排正在测验进犯email邮箱,其方针为美国总统竞选团队、美国现任和上一任政府官员、全球政治记者、居住在伊朗境外的伊朗知名人士。这些垂钓邮件悉数由该安排在8月和9月制造。微软近期发现与Clearsky研讨人员之前研讨陈述”APT35研讨白皮书(一)“根本共同:
1、方针相同
在两起进犯活动中,方针都是对伊朗感兴趣的安排和个人,例如学术安排、人权安排、记者等。
2、时刻线相同
在Clearsky最新的陈述中现已说到发生在2019年7-8月的进犯,在微软发现的陈述中相同说到进犯发生在8-9月30天内。
3、进犯面相同
在两次进犯中该安排运用的类似的进犯手法:
1)针对方针邮箱的登录凭据获取
2)运用微软、谷歌、yahoo服务的垂钓邮件
3)经过短信的鱼叉垂钓进犯,标明该安排正在搜集方针雕花号码等信息。微软发现进犯者运用手机号和暗码凭据康复两种认证因从来取得邮箱账户的控制权。
本文将剖析新发现的四种鱼叉式垂钓办法,以及该安排的详细进犯办法。
进犯剖析
‘Charming Kitten’一向测验在用垂钓的办法进犯方针,检测到的垂钓数量一向添加,进犯能够分为三个办法:
1)运用社会工程学发送电子邮件
2)假充交际渠道传达歹意链接
3)向方针手机发送短信
经过对进犯活动的剖析,确认了该安排四种进犯办法。
1、Google Drive链接下载
方针会遭到进犯者发送的带有Google drive下载链接的邮件,方针下载后进犯者可运用歹意软件搜集方针google凭据。
上面显现的链接指向一个运用google渠道构建的站点,同享链接域名是gmail.com,可是实践应为google.com。
一个正确的google站点同享音讯如下:
另一起垂钓事情中,方针遭到从不知道用户发来的google drive同享音讯,进犯者生成从方针账户收到很多垃圾邮件,并诱导方针点击链接。
第三起事情中,方针收到从搭档发来的邮件,进犯者假充方针搭档并诱导其点击链接。
链接会指向进犯者建立的网站:
hxxps://sites.google[.]com/view/cubqzpmuxra5bjxu7q2jxcxnhkldpa/drive/ hxxps://sites.google[.]com/screenshot-sharing-service/drive/
点击下载链接后会被重定向到一个短网址域名,不会显现实践网址。
当特定进犯结束时,进犯者将从短网址服务中删去该站点,或将地址重定向到实在的邮件服务。比如如下:
假如被进犯者打开了上述链接,他们将被定向到歹意站点。在现在的进犯中,咱们现已确认了一个“.site”TLD dominance。
方针拜访该网站时,进犯者会诈骗方针让他信任坐落google服务中,并拐骗方针登录google账户下载文件。
2、SMS短信音讯
在该办法总,进犯者将会以id为‘’Live Recover’向方针发送信息,并正告方针有人正在进犯其电子邮件账户,拐骗方针点击链接验证。链接将运用短网址重定向歹意网站,下面的示例中方针收到的两条音讯包括不同的链接:
3、登录正告信息
进犯者诈骗方针其邮箱正在朝鲜登录,并拐骗方针点击安全链接:
进犯者诈骗方针其邮箱暗码被篡改,需求进行康复设置,拐骗方针点击链接:
可是在进犯者邮件中存在许多问题,首要发件人的地址为gmail邮箱,可是正告信息为yahoo邮箱;其次”Critical Security alert” 题头信息呈现了两次;前后两种界面中尽管规划方式发生了改变可是显现的时刻日期和IP相同。点击链接后会跳转到垂钓界面:hxxps://bitli[.]pro/B7ZI_f56f7c3f ,其间一些网站现已被封闭。
4、交际网络进犯
在之前的剖析陈述中,研讨人员发现该安排假充交际媒体取得方针的登录凭据。可是与之前不同,本次进犯中首要针对邮箱采纳举动,在进犯活动中发现该安排不只假充Instagram,也有假充的Facebook和Twitter网站。在w3-schools[.]org域名下发现了不同假充网站的相关文件:
依据图片所示,该安排第一批上传的文件为Facebook和Twitter,google、National Iranian-American Council 和 Instagram为第二批上传文件。
每一个假充站点中都会有一个ZIP文件:
从压缩文件中能够看出进犯者运用WordPress和CrunchPress来建立网站。
基础设施剖析
现已发现8个新的和不知道的域名:
customers-recovery[.]site com-verifications[.]site com-session[.]site
每一个域名都有各自的IP,在DNS查询后发现了他们的共同点:
在最近的针对yahoo账户的活动中发现,该安排在2017年曾经过垂钓获取yahoo账户的用户名和暗码,但近年来已将重心转移到谷歌账户。在此次进犯活动中,该安排再次聚集在yahoo账户并假充yahoo服务。下面是该安排的一个垂钓网站的url地址,该网站对yahoo服务(如ymail)进行了仿照。
hxxps://mobiles.com-identifier[.]site/ymail/secureLogin/challenge/url?ucode=d105ad2b-2f7d-4193-a303-03eb32967133&service=mailservice&type=password
在上一个陈述中,发现歹意服务器将客户从仿冒网站重定向到原始网站。此次进犯中假如企图从非专用(即特别授权)进口拜访网站,它也会将服务器设置为重定向到原始yahoo网站。
此次剖析中在网站重定向前发现了其实在的地址及数字签名:
IOCs my[.]en-gb[.]home-access[.]online notification-accountservice[.]com recovery-services[.]info recoverysuperuser[.]info see-us[.]info sessions-identifier-memberemailid[.]network smarttradingfast[.]com system-services[.]site telagram[.]net uploaddata[.]info verification-services[.]info 40[.]112[.]253[.]185 91[.]109[.]22[.]53 136[.]243[.]195[.]229 178[.]32[.]58[.]182 185[.]177[.]59[.]240 46[.]166[.]151[.]209 51[.]68[.]200[.]126 51[.]89[.]229[.]215 51[.]255[.]157[.]110 181[.]177[.]59[.]240 bahaius[.]info bailment[.]org com-activities[.]site com-identifier[.]site com-session[.]site com-verifications[.]site customers-activities[.]site customers-recovery[.]site customers-reminder[.]info documentsfilesharing[.]cloud document-sharing[.]online gomyfiles[.]info identifier-activities[.]info identifier-activities[.]online identity-verification-service[.]info inbox-drive[.]info inbox-sharif[.]info magic-delivery[.]info microsoftinternetsafety[.]net mobilecontinue[.]network mobile-messengerplus[.]network
*参阅来历:clearskysec,由Kriston编译,转载请注明来自FreeBuf.COM
责任编辑:
