Sponsorowana przez państwo irańska grupa APT42 wykorzystała dwa nowe backdoory w ostatnich atakach na organizacje pozarządowe, międzynarodowe i rządy. Zarys tej działalności przedstawił Mandiant. Dla przypomnienia, Mandiant to amerykańska firma zajmująca się cyberbezpieczeństwem i jednocześnie spółka zależna Google. Zyskała na znaczeniu w lutym 2013 r., kiedy opublikowała raport bezpośrednio wskazujący Chiny jako winowajcę w szeregu afer cyberszpiegowskich.
Opisywana grupa APT42 identyfikowana jest również jako Calanque i UNC788. Pozostaje aktywna od co najmniej 2015 r., a działa w ramach Korpusu Strażników Rewolucji Islamskiej, który jest częścią irańskiego aparatu wywiadowczego.
Zaobserwowano, że grupa atakuje środowiska akademickie, aktywistów, służby prawne, organizacje medialne i pozarządowe w krajach Zachodu i Bliskiego Wschodu, zazwyczaj opierając się na programach inżynierii społecznej podszywając się pod dziennikarzy i organizatorów wydarzeń, aby zdobyć zaufanie ofiar.
APT42 wykorzystuje dane uwierzytelniające zebrane od swoich ofiar, w ten sposób uzyskując dostęp do środowisk chmurowych i wydobywając interesujące dane, a także korzysta z narzędzi open source i wbudowanych funkcji, aby uniknąć wykrycia.
Zagłębiając się w działalność grupy, Mandiant zidentyfikował trzy skupiska infrastruktury wykorzystywanej w szeroko zakrojonych kampaniach pozyskiwania danych uwierzytelniających skierowanych przeciwko sektorowi rządowemu, dziennikarzom oraz organizacjom pozarządowym i aktywistom.
Pierwszy klaster, podszywający się pod organizacje medialne i pozarządowe, aktywny od 2021 r., atakuje dziennikarzy, podmioty geopolityczne i badaczy za pomocą linków do fałszywych artykułów informacyjnych przekierowujących na stronę phishingową logowania do Google.
Drugi klaster, aktywny od 2019 r. i udający legalne usługi, atakuje badaczy, dziennikarzy, organizacje pozarządowe i aktywistów, udostępniając zaproszenia na wydarzenia lub legalne dokumenty przechowywane w infrastrukturze chmury, które wymagają od użytkowników podania danych logowania.
Trzeci klaster, działający od 2022 r. i udający organizacje pozarządowe, obiera za cel podmioty związane ze środowiskami akademickimi, jednostkami zajmującymi się sprawami obronności i polityką zagraniczną w USA i Izraelu, podsuwając linki do zaproszeń i legalnych dokumentów.
Ponadto w latach 2022 i 2023 zaobserwowano, że APT42 pozyskiwało interesujące dokumenty ze środowisk Microsoft 365 podmiotów świadczących usługi prawne i organizacji pozarządowych w USA i Wielkiej Brytanii po uzyskaniu danych uwierzytelniających ofiar i ominięciu uwierzytelniania wieloskładnikowego.
W nowszych atakach ugrupowanie cyberszpiegowskie wdrażało niestandardowe backdoory Nicecurl i Tamecat w atakach wymierzonych w organizacje pozarządowe, rządy lub organizacje międzyrządowe powiązane z Bliskim Wschodem.
Napisany w VBScript Nicecurl może upuścić na zainfekowane maszyny dodatkowe moduły, w tym jeden do gromadzenia danych, a drugi do wykonywania dowolnych poleceń. W styczniu i lutym 2024 r. zaobserwowano, że APT42 podszywa się pod instytut bliskowschodni i amerykański zespół doradców w celu dystrybucji tego backdoora.
Tamecat z kolei, narzędzie zdolne do uruchamiania treści PowerShell i C#, było dystrybuowane za pośrednictwem dokumentów zawierających złośliwe makra.
„APT42 pozostaje skupione na gromadzeniu informacji wywiadowczych i atakowaniu listy podobnych ofiar. Wojna Izrael-Hamas skłoniła innych aktorów powiązanych z Iranem do przystosowania się poprzez prowadzenie zakłócających, destrukcyjnych działań oraz haków i wycieków. Zaobserwowano, że oprócz wdrażania niestandardowych implantów na zaatakowanych urządzeniach, APT42 przeprowadza również szeroko zakrojone operacje w chmurze” – informuje Mandiant.
Firma zajmująca się cyberbezpieczeństwem zauważa również, że niektóre działania APT42 pokrywają się z działalnością Charming Kitten, innej irańskiej grupy hakerskiej, określanej również jako Mint Sandstorm, Phosphorus, TA453, ITG18 czy Yellow Garuda.