APT35又被成为“Charming Kitten”，是归属于伊朗的黑客组织。该组织自2014年活动以来，其目标为伊朗专家、人权活动人士和媒体人员。大多数受害者在中东、美国和英国。

活动时间线

其活动时间线如下：

2015年，Clearsky研究人员发现该组织网络钓鱼攻击行为，并发布名为“Thamar reservoir”的调查报告。

2017年，Clearsky检测并揭露该组织在2016年至2017年大规模的间谍活动，其主要攻击包括冒充假冒组织和个人进行鱼叉和水坑攻击。

2018年，该组织试图通过虚假网站攻击Clearsky研究组织，同年该组织利用虚假邮件以及网站发起针对中东的网络攻击。

2019年，该组织攻击活动量急剧增加，从中可知其发起了新的网络攻击活动，共分为两个阶段，针对两类不同的人：伊朗学术研究中来自美国、中东和法国的非伊朗研究员；在美国的持有不同政见者的伊朗人。

今年8月该组织活动持续进行，与7月不同的是，apt组织正在将目标范围拓展到全球具有影响力的人，并不是限定于学术研究人员和国家组织。此外，在2019年8月发现该组织已经在电子邮件中添加追踪器，可以跟踪转发至其他邮箱的电子邮件并获取地理位置。

攻击流程

1、第一阶段是利用社会工程学的方法发送电子邮件，黑客模仿一位知名的研究人员或记者，邀请收件人参加某主题活动。

2、第二个阶段是一个虚假网站，模拟各种谷歌服务，如gmail或google drive，受害者从钓鱼电子邮件重定向到这些服务。

3、使用虚假社交网站，冒充Instagram官方网站，并试图提取非google服务的凭据。

邮件分析

第一组邮件

攻击者冒充研究机构，试图私下联系受害者，鼓励他们查看简历。在电子邮件中的链接是一个虚假网站的url地址

此链接并不是恶意链接，它目的是为了赢得受害者的信任，该网站包含与原文完全相同的页面，只有发件人的地址发生了变化。

电子邮件是以十进制编码用javascript嵌入到网页内容中的，例如：来自isis online[.]org发送到假电子邮件地址isis online[.]net，如下所示：

其编码为：

第二组邮件

该组邮件中，攻击者冒充一名知名记者，与上一组邮件不同的是该邮件不包含任何指向虚假网站的链接。攻击者会让目标参与关于伊朗或其感兴趣的在线会议，若目标有兴趣参与则会要求提供以下信息：

1、其他参与者的名单

2、会议的日期和时间

3、有关付款的具体方式信息

对文章中出现的Deutcshe Welle网站进行扫描后发现，该网站是一个德国的国际新闻门户网站，如下图所示。该网站仍然在用于攻击活动。

第二波攻击主要集中在8月份，攻击者在同一个晚上冒充CNN记者向多个目标发送电子邮件，以下为电子邮件内容：

通过分析邮件头部信息可以发现攻击者在邮件中植入的追踪信息，其内容如下：

攻击者使用追踪器检查邮件是否转发给其他收件人，并获取受害者的地理位置和IP地址。数据通过安装在受害者计算机上的cookie按以下路径收集：

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\Low\admin@gnldr[$].txt

cookie内容如下：

为了进一步掩盖消息的恶意目的，攻击者附加了CNN标志：

基础设施分析

确定了超过六个服务器负责托管网站。其中，四个服务器为第一阶段的一部分，而另外两个主机服务器模拟google服务。我们估计这些可能被用于攻击第二阶段的数据窃取。

经过一个月的攻击活动，攻击者切换了用于存储电子邮件地址的服务器，其中包含数千个地址。

这些域名只能通过上文提到过的链接进行访问，其他情况下服务器会将访问者重新定向到原始网站。下图为shodan查询的ip地址，185.141.63[.]160，会被重定向到虚假域名unirsd[.]com。

185.141.63[.]135是唯一一个指向两个域名的服务器：

1、leslettrespersanes[.]net，虚假的法国杂志“Les Lettres Persanes”

2、Inztaqram[.]ga，虚假的 Instagram 公司

在对其他服务器进行搜索的过程中确定了一个重定向到google服务的服务器，该服务器同时承载两个伊朗域名，该服务器极有可能是此次攻击活动的一部分：

活动关联

利用三个主要因素来对该组织的攻击活动进行划分：

1、第一个因素为：在上述邮件中出现的两个主要网站：犹太期刊和德国杂志（Deutsche Welle）

在2019年3月通过域名jewishjournal[.]online分析确认该组织发起的另一起网络攻击活动，并利用DNS记录发现了另一个假冒Deutsche Welle的域名：deutcshewelle[.]net

通过dns记录可以发现，该组织利用自2019年7月就开始使用Jewish Journal进行攻击活动。

2、第二个因素为：如上文提到的该组织的目标为美国、中东、法国中持有不同政见者的人，但是在邮件中都会重复出现拼写错误。

3、假冒NIAC的行为证明该组织属于伊朗。

除上述原因外，更多信息将该组织的活动与伊朗联系起来。其中一个是在exnovin[.]org网站上找到的原始服务器NetBlock的IP地址。

exnovin是一家伊朗货币兑换平台，该域名先前托管在德国托管公司hetzner上，这些因素很可能与该组织有关。

IOCs

isis-online[.]net
acconut-verify[.]com
leslettrespersanes[.]net
unrisd[.]com
drive-accounts[.]com
niaconucil[.]org
skynevvs[.]com
islamicemojimaker[.]com
w3-schools[.]org
seisolarpros[.]org
exnovin[.]org
185[.]141[.]63[.]161
185[.]141[.]63[.]162
185[.]141[.]63[.]135
185[.]141[.]63[.]160
185[.]141[.]63[.]156
185[.]141[.]63[.]157
185[.]141[.]63[.]8
185[.]141[.]63[.]172

*参考来源：clearskysec，由Kriston编译，转载请注明来自FreeBuf.COM