Nowe backdoory wykorzystywane przez irańskich cyberszpiegów

Opisywana grupa APT42 identyfikowana jest również jako Calanque i UNC788. Pozostaje aktywna od co najmniej 2015 r., a działa w ramach Korpusu Strażników Rewolucji Islamskiej, który jest częścią irańskiego aparatu wywiadowczego.

Zaobserwowano, że grupa atakuje środowiska akademickie, aktywistów, służby prawne, organizacje medialne i pozarządowe w krajach Zachodu i Bliskiego Wschodu, zazwyczaj opierając się na programach inżynierii społecznej podszywając się pod dziennikarzy i organizatorów wydarzeń, aby zdobyć zaufanie ofiar.

APT42 wykorzystuje dane uwierzytelniające zebrane od swoich ofiar, w ten sposób uzyskując dostęp do środowisk chmurowych i wydobywając interesujące dane, a także korzysta z narzędzi open source i wbudowanych funkcji, aby uniknąć wykrycia.

Zagłębiając się w działalność grupy, Mandiant zidentyfikował trzy skupiska infrastruktury wykorzystywanej w szeroko zakrojonych kampaniach pozyskiwania danych uwierzytelniających skierowanych przeciwko sektorowi rządowemu, dziennikarzom oraz organizacjom pozarządowym i aktywistom.

Pierwszy klaster, podszywający się pod organizacje medialne i pozarządowe, aktywny od 2021 r., atakuje dziennikarzy, podmioty geopolityczne i badaczy za pomocą linków do fałszywych artykułów informacyjnych przekierowujących na stronę phishingową logowania do Google.

Drugi klaster, aktywny od 2019 r. i udający legalne usługi, atakuje badaczy, dziennikarzy, organizacje pozarządowe i aktywistów, udostępniając zaproszenia na wydarzenia lub legalne dokumenty przechowywane w infrastrukturze chmury, które wymagają od użytkowników podania danych logowania.

Trzeci klaster, działający od 2022 r. i udający organizacje pozarządowe, obiera za cel podmioty związane ze środowiskami akademickimi, jednostkami zajmującymi się sprawami obronności i polityką zagraniczną w USA i Izraelu, podsuwając linki do zaproszeń i legalnych dokumentów.

Ponadto w latach 2022 i 2023 zaobserwowano, że APT42 pozyskiwało interesujące dokumenty ze środowisk Microsoft 365 podmiotów świadczących usługi prawne i organizacji pozarządowych w USA i Wielkiej Brytanii po uzyskaniu danych uwierzytelniających ofiar i ominięciu uwierzytelniania wieloskładnikowego.

W nowszych atakach ugrupowanie cyberszpiegowskie wdrażało niestandardowe backdoory Nicecurl i Tamecat w atakach wymierzonych w organizacje pozarządowe, rządy lub organizacje międzyrządowe powiązane z Bliskim Wschodem.

Napisany w VBScript Nicecurl może upuścić na zainfekowane maszyny dodatkowe moduły, w tym jeden do gromadzenia danych, a drugi do wykonywania dowolnych poleceń. W styczniu i lutym 2024 r. zaobserwowano, że APT42 podszywa się pod instytut bliskowschodni i amerykański zespół doradców w celu dystrybucji tego backdoora.

Tamecat z kolei, narzędzie zdolne do uruchamiania treści PowerShell i C#, było dystrybuowane za pośrednictwem dokumentów zawierających złośliwe makra.

„APT42 pozostaje skupione na gromadzeniu informacji wywiadowczych i atakowaniu listy podobnych ofiar. Wojna Izrael-Hamas skłoniła innych aktorów powiązanych z Iranem do przystosowania się poprzez prowadzenie zakłócających, destrukcyjnych działań oraz haków i wycieków. Zaobserwowano, że oprócz wdrażania niestandardowych implantów na zaatakowanych urządzeniach, APT42 przeprowadza również szeroko zakrojone operacje w chmurze” – informuje Mandiant.

Firma zajmująca się cyberbezpieczeństwem zauważa również, że niektóre działania APT42 pokrywają się z działalnością Charming Kitten, innej irańskiej grupy hakerskiej, określanej również jako Mint Sandstorm, Phosphorus, TA453, ITG18 czy Yellow Garuda.