APT35, также известная как Magic Hound, Cobalt Illusion, Charming Kitten, - группа угроз, финансируемая Ираном и предположительно связанная с Корпусом стражей исламской революции (КСИР) Ирана, действующая в основном на Ближнем Востоке с историей, начавшейся в 2014 году. Деятельность группы направлена в основном на энергетический, правительственный и технологический секторы, а цели атак находятся на Ближнем Востоке, в США и других регионах.
Charming Kitten APT
В последнее время команда ThreatBook Research and Response Team обнаружила, что группировка APT35 использует поддельные сайты для проведения атак. Группа размещает белые и черные компоненты на поддельных рекрутинговых и корпоративных сайтах, привлекая цели для загрузки и выполнения вредоносных процессов. Также при атаках использовались легитимные интернет-ресурсы, такие как OneDrive, Google Cloud и GitHub.
После проведения глубокого анализа инцидента, команда ThreatBook выявила несколько связанных индикаторов компрометации (IOC) для обнаружения угроз. Платформы обнаружения угроз, управления анализом угроз, облачные API, песочницы и другие инструменты ThreatBook поддерживают обнаружение и защиту от атак группы APT35.
Одним из конкретных случаев использования поддельных сайтов командой APT35 было создание рекрутингового сайта, нацеленного на аэрокосмическую промышленность. На этом сайте был предложен доступ к программе смешанного авторизованного доступа, в которой содержались белые и черные вредоносные образцы. Целью атаки, по всей видимости, был эксперт в области разработки беспилотников в Таиланде. Анализ показал, что данная атака связана с группой UNC1549, которая также была выявлена ранее в этом году.
Вредоносные образцы, размещенные на поддельном сайте, включали легитимную программу OneDrive и вредоносные программы первой и второй стадии. После загрузки вредоносной программы на целевую систему происходило ее копирование и переименование, создание значения реестра для автозапуска и тихая загрузка дополнительных вредоносных программ. При анализе обнаружены жестко закодированные данные, предположительно, идентифицирующие конкретного эксперта в области разработки беспилотников в Таиланде. Кроме того, злоумышленники сделали обучающее видео по работе с вредоносной программой.
Indicators of Compromise
Domains
- cdn.careers2find.com
- customer.orbotech.info
- msdnhelp.com
- visioffline.com
- xboxapicenter.com
URLs
- drive.google.com/uc?export=download&id=1prtuA0jGP3TvjJyR_o-10tF29Mpamrc2
- onedrive.live.com/download?resid=31843351F20092B0!106&authkey=!AD30rbv8xs6i-sE
- raw.githubusercontent.com/msdnedgesupport/msdn/main/README.md
SHA256
- 88097e4780bfdc184b16c5a8a90793983676ad43749ffca49c9d70780e32c33a
- 918e70e3f5fdafad28effd512b2f2d21c86cb3d3f14ec14f7ff9e7f0760fd760
- bf308e5c91bcd04473126de716e3e668cac6cb1ac9c301132d61845a6d4cb362
- c1f1ce81115bed45c594aeeb92adb687bb04478cb40bb9dab538277d0c8cc13e
- cfdc7747b716be5817ce1bc76decfb3e1b27113545a01558ed97ab5fd024c53e
- db034eb09fea48cc77d19804126f64c5336dd4e33b3884dc33d5336a434cb315
- e5fbaab1270deb86b419abb348f19c2b9afd6e5c2e151c4d0869f6c5d889e029