Ανακαλύφθηκε μια νέα ομάδα hacking που χρηματοδοτείται από το Ιράν, γνωστή ως APT42 η οποία χρησιμοποιεί ένα προσαρμοσμένο Android malware για να κατασκοπεύσει τους στόχους που την ενδιαφέρουν.

Η εταιρεία κυβερνοασφάλειας έχει συλλέξει αρκετά στοιχεία για να προσδιορίσει ότι η ομάδα APT42 είναι ένας απειλητικός φορέας που υποστηρίζεται από το Ιράν και εμπλέκεται σε κυβερνοκατασκοπεία κατά ατόμων και οργανώσεων που παρουσιάζουν ιδιαίτερο ενδιαφέρον για την ιρανική κυβέρνηση.

Δείτε επίσης: HP: Διορθώνει bug στο προεγκατεστημένο Support Assistant tool

Τα πρώτα σημάδια δραστηριότητας της ομάδας APT42 χρονολογούνται πριν από επτά χρόνια και περιστρέφονται γύρω από μακροχρόνιες εκστρατείες spear-phishing που στόχευαν κυβερνητικούς αξιωματούχους, πολιτικούς, δημοσιογράφους, ακαδημαϊκούς σε όλο τον κόσμο και Ιρανούς αντιφρονούντες.

Στόχος των χάκερ είναι να κλέψουν account credentials. Ωστόσο, σε πολλές περιπτώσεις, αναπτύσσουν και ένα προσαρμοσμένο στέλεχος Android malware με δυνατότητα παρακολούθησης θυμάτων, πρόσβασης στο χώρο αποθήκευσης της συσκευής και εξαγωγής δεδομένων επικοινωνίας.

Καμπάνιες και στόχοι

Σύμφωνα με την Mandiant, η οποία ανακάλυψε τις δραστηριότητες της APT42, η ομάδα έχει πραγματοποιήσει τουλάχιστον 30 επιχειρήσεις σε 14 χώρες από το 2015.

Η ομάδα άλλαξε στόχους πολλές φορές για να ταιριάζει με τα μεταβαλλόμενα ενδιαφέροντα συλλογής πληροφοριών. Για παράδειγμα, το 2020, η APT42 χρησιμοποίησε phishing emails που υποδύονταν έναν εμβολιολόγο του πανεπιστημίου της Οξφόρδης για να στοχεύσει ξένα φαρμακευτικά προϊόντα.

Το 2021, η ομάδα APT42 χρησιμοποίησε παραβιασμένες διευθύνσεις email από οργανισμούς μέσων ενημέρωσης των ΗΠΑ για να στοχεύσει θύματα με ψεύτικα αιτήματα συνεντεύξεων, αλληλεπιδρώντας μαζί τους για 37 ημέρες πριν χτυπήσει με μια σελίδα credential harvesting.

Πιο πρόσφατα, τον Φεβρουάριο του 2022, οι χάκερ υποδύθηκαν ένα βρετανικό πρακτορείο ειδήσεων για να στοχοποιήσουν καθηγητές πολιτικών επιστημών στο Βέλγιο και τα Ηνωμένα Αραβικά Εμιράτα.

Στις περισσότερες περιπτώσεις, οι χάκερ στόχευαν στη συλλογή των credentials κατευθύνοντας τα θύματά τους σε σελίδες phishing που είχαν σχεδιαστεί για να εμφανίζονται ως νόμιμες πύλες σύνδεσης.

Δείτε επίσης: North Face: 200.000 λογαριασμοί παραβιάστηκαν μέσω credential stuffing

Αυτό το κάνουν είτε στέλνοντας shortened links είτε ένα συνημμένο PDF που περιέχει κουμπιά που οδηγούν σε σελίδες συλλογής credential που μπορούν να υποκλέψουν και κωδικούς MFA.

Android malware

Το στέλεχος mobile malware που χρησιμοποιείται στις καμπάνιες APT42 βοηθά τον απειλητικό παράγοντα να παρακολουθεί στενά τους πιο υψηλού ενδιαφέροντος στόχους

του (τηλεφωνικές κλήσεις, εισερχόμενα SMS και πολλά άλλα).

Η Mandiant λέει ότι το Android spyware εξαπλώνεται κυρίως σε ιρανικούς στόχους μέσω μηνυμάτων SMS που περιέχουν links σε μια εφαρμογή ανταλλαγής μηνυμάτων ή VPN που μπορούν να βοηθήσουν στην παράκαμψη των περιορισμών που επιβάλλονται από την κυβέρνηση.

Ωστόσο, η Mandiant αναφέρει ότι ανακαλύπτει και landing pages για τη λήψη IM apps στα αραβικά, επομένως οι απειλητικοί φορείς ενδέχεται να έχουν αναπτύξει το Android malware και εκτός Ιράν.

Η ομάδα APT42 χρησιμοποιεί ένα πλούσιο set από ελαφρύ προσαρμοσμένο κακόβουλο λογισμικό σε συστήματα Windows για να δημιουργήσει μια βάση και να κλέψει credentials που θα τους επιτρέψουν να κλιμακώσουν τα προνόμια και να πραγματοποιήσουν reconnaissance στο δίκτυο.

Δείτε επίσης: Η Αλβανία κατηγορεί το Ιράν για την κυβερνοεπίθεση του Ιουλίου και διακόπτει τις διπλωματικές σχέσεις

Για πλευρική κίνηση, οι χάκερ στέλνουν phishing emails σε συναδέλφους του παραβιασμένου χρήστη. Ταυτόχρονα, η παρουσία σε συστήματα με νέα παραβίαση διασφαλίζεται με την προσθήκη προγραμματισμένων εργασιών και νέων κλειδιών μητρώου των Windows.

Σύνδεσμοι προς ransomware

Η Mandiant υπογραμμίζει τη σύνδεση μεταξύ των TTPs της ομάδας APT42 και της δραστηριότητας ransomware χρησιμοποιώντας το BitLocker, που αναφέρθηκε τον Νοέμβριο του 2021 από τη Microsoft.

Η Mandiant λέει τώρα ότι υπάρχουν αρκετά τεχνικά στοιχεία για τη σύνδεση των επιθέσεων της APT42, μαζί με την ομάδα APT35.

Τέλος, η Mandiant εκτίμησε (με κάθε επιφύλαξη) ότι η APT42 και η APT35 είναι και οι δύο χειρισμοί του IRGC (Σώμα των Φρουρών της Ισλαμικής Επανάστασης), το οποίο οι ΗΠΑ χαρακτηρίζουν τρομοκρατική οργάνωση.

Πηγή πληροφοριών: bleepingcomputer.com