APT42 olarak izlenen İran devlet destekli tehdit oyuncusu, batı ve Orta Doğu hedeflerinin kurumsal ağlarını ve bulut ortamlarını ihlal etmek için gazeteci olarak poz vermek de dahil olmak üzere sosyal mühendislik saldırıları kullanıyor.
APT42 ilk olarak Mantiant tarafından Eylül 2022'de, tehdit aktörlerinin 2015'ten beri aktif olduğunu ve 14 ülkede en az 30 operasyon gerçekleştirdiğini bildirdi.
İran'ın İslam Devrim Muhafız Kolordu İstihbarat Örgütü'ne (IRGC-IO) bağlı olduğuna inanılan casusluk grubunun, sivil toplum kuruluşlarını, medya kuruluşlarını, eğitim kurumlarını, aktivistleri ve hukuk hizmetlerini hedefleyen gözlemlenmiştir.
APT42'nin operasyonlarını izleyen Google Tehdit Analistleri, bilgisayar korsanlarının, komut yürütme ve veri söndürme özellikleri sağlayan "Nikecurl" ve "Tamecat" olmak üzere hedeflerini iki özel backrod ile enfekte etmek için kötü niyetli e -postalar kullandıklarını bildiriyor.
APT42 saldırıları, hedeflerin cihazlarını özel backdoors ile enfekte etmek ve tehdit aktörlerinin kuruluşların ağlarına ilk erişim elde etmesine izin veren nihai hedefi ile sosyal mühendislik ve mızrak aktı.
Saldırı, gazeteciler, STK temsilcileri veya "yazımcı" (benzer URL'ler kullanan) alanlardan gönderilen online kişilerin e -postalarıyla başlar.
APT42 tarafından taklit edilen medya örgütleri arasında Washington Post (ABD), Ekonomist (İngiltere), Kudüs Postası (IL), Khaleej Times (BAE), Azadliq (Azerbaycan), maniant saldırıların genellikle yazım hattı gibi yazılar kullandığını belirtiyor " Washinqtonpost [.] Basın ".
Saldırganlar bir kurbanla güven oluşturmak için yeterli iletişim takas ettikten sonra, seçilen cazibe konusuna bağlı olarak bir konferans veya haber makalesi ile ilgili bir belgeye bir bağlantı gönderirler.
Bağlantıları tıklamak, hedefleri Google ve Microsoft gibi iyi bilinen hizmetleri taklit eden sahte oturum açma sayfalarına veya hatta kurbanın çalışma alanıyla ilgili özel platformlara yönlendirir.
Bu kimlik avı siteleri sadece mağdurun hesap kimlik bilgilerini değil, aynı zamanda çok faktörlü kimlik doğrulama (MFA) belirteçlerini de toplar.
Kurbanın hesabını ele geçirmek için gereken tüm verileri çaldıktan sonra, bilgisayar korsanları kurumsal ağa veya bulut ortamına sızar ve e -postalar ve belgeler gibi hassas bilgiler toplar.
Google, normal işlemlerle algılamadan kaçınmak ve karıştırmak için APT42, belgeleri inceledikten sonra Google Chrome geçmişini temizlediği ve mağdur organizasyona ait görünen e-posta adreslerini kullandığını bildiren APT42'nin eylemlerini sınırladığını bildirir. Dosyaları OneDrive hesaplarına eklemek için.
Buna ek olarak, APT42, kurbanın ortamı ile tüm etkileşimler sırasında ekspresvpn düğümleri, cloudflare ile barındırılan alanlar ve geçici VPS sunucularını kullanır ve ilişkilendirmeyi zorlaştırır.
APT42, her biri siber sorumluluk işlemleri içindeki belirli işlevler için tasarlanmış Nicecurl ve Tamecat adında iki özel backrod kullanır.
Nicecurl, komut yürütme, ek yükler indirme ve yürütme veya enfekte ana bilgisayarda veri madenciliği gerçekleştirebilen VBScript tabanlı bir arka kapıdır.
Tamecat, keyfi PS kodu veya C# komut dosyaları yürütebilen daha karmaşık bir PowerShell arka kapısıdır ve APT42'ye veri hırsızlığı ve kapsamlı sistem manipülasyonu gerçekleştirmek için çok fazla operasyonel esneklik sağlar.
Nikecurl ile karşılaştırıldığında, Tamecat, C2 iletişimini Base64 ile gizler, yapılandırmasını dinamik olarak güncelleyebilir ve AV araçları ve diğer aktif güvenlik mekanizmalarının algılamasından kaçınmak için yürütülmeden önce enfekte olmuş ortamı değerlendirir.
Her iki arka kapı, genellikle makro izinlerin çalıştırılmasını gerektiren kötü amaçlı belgelere sahip kimlik avı e -postaları aracılığıyla dağıtılır. Bununla birlikte, APT42 mağdurla güven geliştirdiyse, bu gereklilik bir engel haline gelir, çünkü mağdurun güvenlik özelliklerini manuel olarak devre dışı bırakma olasılığı daha yüksektir.
Benzer, aynı olmasa da, kötü amaçlı yazılım Şubat ayında Volexity tarafından analiz edildi ve bu da saldırıları İran tehdit aktörlerine bağladı.
Son APT42 kampanyası için uzlaşma göstergelerinin (IOCS) tam listesi ve Nicecurl ve Tamecat kötü amaçlı yazılımları tespit etmek için YARA kuralları Google'ın raporunun sonunda bulunabilir.
NSA, zayıf DMARC e -posta politikalarından yararlanan Kuzey Koreli bilgisayar korsanları konusunda uyarıyor
Rus Sandworm Hackers, su hizmetlerinde hacktivist olarak poz veriyor
Rus hackerlar Wineloader kötü amaçlı yazılımla Alman siyasi partilerini hedefleyin
Arcanedoor Hacker'lar Govt ağlarını ihlal etmek için Cisco sıfır günlerini sömürüyor
ABD Govt Yaptırımları İranlılar hükümet siber saldırılarına bağlı
Kaynak: Bleeping Computer