Хакерская группировка под названием APT42 использует усовершенствованные схемы социальной инженерии для проникновения в целевые сети и облачные среды.
Целями атак являются западные и ближневосточные НКО, медиа-организации, научные круги, юридические службы и активисты, говорится в отчете дочерней компании Google Cloud - Mandiant, опубликованном на прошлой неделе.
«APT42 выдавали себя за журналистов и организаторов мероприятий, чтобы установить доверительные отношения со своими жертвами через постоянную переписку, а также доставить приглашения на конференции или легитимные документы», - говорится в сообщении компании.
«Эти схемы социальной инженерии позволяли APT42 собирать учетные данные и использовать их для получения первоначального доступа к облачным средам. Впоследствии скрытно выводя данные, представляющие предположительно стратегический интерес для Ирана».
APT42 (также известная как Damselfly и UNC788) представляет собой группу кибершпионажа, задачей которой является проведение операций по сбору информации и наблюдению за лицами и организациями, представляющими как предполагается стратегический интерес для иранского правительства.
Возможно она является подгруппой другой известной хакерской группировки, отслеживаемой как APT35, которая также известна под различными именами CALANQUE, CharmingCypress, Charming Kitten, ITG18, Mint Sandstorm (ранее Phosphorus), Newscaster, TA453 и Yellow Garuda.
Обе группировки по мнению спецслужб связаны с Корпусом стражей исламской революции Ирана (КСИР), но преследуют разные цели.
В то время как Charming Kitten больше сосредоточена на долгосрочных операциях с использованием вредоносного ПО, направленных на кражу данных организаций и компаний в США и на Ближнем Востоке. APT42, напротив, нацелена на конкретных людей и организации, на которые "положили глаз" иранские спецслужбы для целей внутренней и внешней политики.
Известно, что атаки этой группы включают в себя обширные операции по сбору учетных данных Microsoft, Yahoo и Google с помощью фишинговых писем, содержащих вредоносные ссылки на документы, которые перенаправляют получателей на поддельную страницу входа в систему.
В ходе этих кампаний злоумышленники рассылали письма с доменов, имеющих опечатки и маскирующихся под новостные издания, легитимные сервисы Dropbox, Google Meet, LinkedIn и YouTube.
Атаки с целью захвата учетных данных дополняются действиями по эксфильтрации данных, направленными на публичную облачную инфраструктуру жертв, чтобы заполучить документы, представляющие интерес для Ирана.
«Эти операции начинались с усовершенствованных схем социальной инженерии для получения первоначального доступа к сетям жертв, часто включающих постоянную доверительную переписку с жертвой», - говорит Mandiant.
«Только после этого получаются нужные учетные данные и обходится многофакторная аутентификация (MFA), для чего используется клонированный веб-сайт для получения токена MFA, а затем отправляются MFA push-уведомления жертве».
В попытке замести следы и скрыться от посторонних глаз хакеры использовали общедоступные инструменты, пересылал файлы на аккаунт OneDrive, маскируясь под организацию жертвы, используя VPN и анонимизированную инфраструктуру для взаимодействия со взломанной средой.
Также APT42 использовала два пользовательских бэкдора, которые служат точкой перехода для установки дополнительного вредоносного ПО или ручного выполнения команд на устройстве.
NICECURL (он же BASICSTAR) - бэкдор, написанный на VBScript, который может загружать дополнительные модули для исполнения, включая поиск данных и выполнение произвольных команд.
TAMECAT - PowerShell-шифровальщик, который может выполнять произвольные функции PowerShell или C#.
Стоит отметить, что NICECURL был ранее разоблачен компанией Volexity, занимающейся анализом угроз и реагированием на инциденты, в феврале 2024 года в связи с серией кибератак, направленных на экспертов по политике Ближнего Востока в период с сентября по октябрь 2023 года.
«Несмотря на войну между Израилем и Хамасом, которая заставила других субъектов иранского несанкционированного доступа адаптироваться, проводя подрывные, разрушительные и хакерские атаки, APT42 по-прежнему сосредоточена на сборе разведданных и нацелена на аналогичные цели», - заключает Mandiant.
«Методы, применяемые APT42, оставляют минимальный след и могут сделать обнаружение их деятельности более сложным для сетевых экранов».