APT35 kampány
A Stormshield elemzése szerint az APT35, az iráni államhoz köthető kiberkémkedő csoport ismét ismert taktikákhoz nyúlt, és újabb adathalász kampányokat indított. A kutatók két olyan szervert azonosítottak, amelyek erősen emlékeztettek a Check Point korábbi megállapításai alapján APT35-höz köthető infrastruktúrára.
Ezekhez több olyan domain kapcsolódott, amelyeket videókonferencia-szolgáltatások álneve alatt hoztak létre, például a Google Meetre hasonlító címekkel. Az oldalak egyszerűen felépített webhelyek voltak, néhány HTML-, CSS- és JavaScript-fájllal, amelyeket több domainen keresztül újrahasznosítottak. A vizsgálat során a Stormshield csapata az úgynevezett „ssdeep” hash-alapú keresést is bevetette, amellyel további egyezéseket talált, köztük konkrét IP-címeket és újabb, hasonlóképpen álcázott domaineket. A kampányok egyik ismertetőjegye az „invitation” paraméter használata volt az URL-ekben, amelynek segítségével szintén további gyanús oldalakat lehetett beazonosítani. A biztonsági szakemberek szerint az APT35 a Google Meet és más népszerű videókonferencia-platformok nevével való visszaélést már régóta alkalmazza, és lényegében semmit sem változtatott a domainjei felépítésén. Ez egyszerre mutatja a módszer beváltságát és az állandóságát, ugyanakkor lehetőséget ad a védelemnek is, hogy következetesen azonosítsa és blokkolja a hasonló próbálkozásokat.
