Menu dostępności

Sponsorowana przez państwo irańska grupa APT42 wykorzystała dwa nowe backdoory w ostatnich atakach na organizacje pozarządowe

Nowe backdoory wykorzystywane przez irańskich cyberszpiegów

Sponsorowana przez państwo irańska grupa APT42 wykorzystała dwa nowe backdoory w ostatnich atakach na organizacje pozarządowe, międzynarodowe i rządy. Zarys tej działalności przedstawił Mandiant. Dla przypomnienia, Mandiant to amerykańska firma zajmująca się cyberbezpieczeństwem i jednocześnie spółka zależna Google. Zyskała na znaczeniu w lutym 2013 r., kiedy opublikowała raport bezpośrednio wskazujący Chiny jako winowajcę w szeregu afer cyberszpiegowskich.

Opisywana grupa APT42 identyfikowana jest również jako Calanque i UNC788. Pozostaje aktywna od co najmniej 2015 r., a działa w ramach Korpusu Strażników Rewolucji Islamskiej, który jest częścią irańskiego aparatu wywiadowczego.

Zaobserwowano, że grupa atakuje środowiska akademickie, aktywistów, służby prawne, organizacje medialne i pozarządowe w krajach Zachodu i Bliskiego Wschodu, zazwyczaj opierając się na programach inżynierii społecznej podszywając się pod dziennikarzy i organizatorów wydarzeń, aby zdobyć zaufanie ofiar.

APT42 wykorzystuje dane uwierzytelniające zebrane od swoich ofiar, w ten sposób uzyskując dostęp do środowisk chmurowych i wydobywając interesujące dane, a także korzysta z narzędzi open source i wbudowanych funkcji, aby uniknąć wykrycia.

Zagłębiając się w działalność grupy, Mandiant zidentyfikował trzy skupiska infrastruktury wykorzystywanej w szeroko zakrojonych kampaniach pozyskiwania danych uwierzytelniających skierowanych przeciwko sektorowi rządowemu, dziennikarzom oraz organizacjom pozarządowym i aktywistom.

Pierwszy klaster, podszywający się pod organizacje medialne i pozarządowe, aktywny od 2021 r., atakuje dziennikarzy, podmioty geopolityczne i badaczy za pomocą linków do fałszywych artykułów informacyjnych przekierowujących na stronę phishingową logowania do Google.

Drugi klaster, aktywny od 2019 r. i udający legalne usługi, atakuje badaczy, dziennikarzy, organizacje pozarządowe i aktywistów, udostępniając zaproszenia na wydarzenia lub legalne dokumenty przechowywane w infrastrukturze chmury, które wymagają od użytkowników podania danych logowania.

Trzeci klaster, działający od 2022 r. i udający organizacje pozarządowe, obiera za cel podmioty związane ze środowiskami akademickimi, jednostkami zajmującymi się sprawami obronności i polityką zagraniczną w USA i Izraelu, podsuwając linki do zaproszeń i legalnych dokumentów.

Ponadto w latach 2022 i 2023 zaobserwowano, że APT42 pozyskiwało interesujące dokumenty ze środowisk Microsoft 365 podmiotów świadczących usługi prawne i organizacji pozarządowych w USA i Wielkiej Brytanii po uzyskaniu danych uwierzytelniających ofiar i ominięciu uwierzytelniania wieloskładnikowego.

W nowszych atakach ugrupowanie cyberszpiegowskie wdrażało niestandardowe backdoory Nicecurl i Tamecat w atakach wymierzonych w organizacje pozarządowe, rządy lub organizacje międzyrządowe powiązane z Bliskim Wschodem.

Napisany w VBScript Nicecurl może upuścić na zainfekowane maszyny dodatkowe moduły, w tym jeden do gromadzenia danych, a drugi do wykonywania dowolnych poleceń. W styczniu i lutym 2024 r. zaobserwowano, że APT42 podszywa się pod instytut bliskowschodni i amerykański zespół doradców w celu dystrybucji tego backdoora.

Tamecat z kolei, narzędzie zdolne do uruchamiania treści PowerShell i C#, było dystrybuowane za pośrednictwem dokumentów zawierających złośliwe makra.

„APT42 pozostaje skupione na gromadzeniu informacji wywiadowczych i atakowaniu listy podobnych ofiar. Wojna Izrael-Hamas skłoniła innych aktorów powiązanych z Iranem do przystosowania się poprzez prowadzenie zakłócających, destrukcyjnych działań oraz haków i wycieków. Zaobserwowano, że oprócz wdrażania niestandardowych implantów na zaatakowanych urządzeniach, APT42 przeprowadza również szeroko zakrojone operacje w chmurze” – informuje Mandiant.

Firma zajmująca się cyberbezpieczeństwem zauważa również, że niektóre działania APT42 pokrywają się z działalnością Charming Kitten, innej irańskiej grupy hakerskiej, określanej również jako Mint Sandstorm, Phosphorus, TA453, ITG18 czy Yellow Garuda.

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
Zero-day i groźna eskalacja uprawnień w systemie Windows –  analiza CVE-2025-59230 i ostrzeżenie CISA

Zero-day i groźna eskalacja uprawnień w systemie Windows –  analiza CVE-2025-59230 i ostrzeżenie CISA

Ostrzegamy wszystkie firmy i instytucje przed nowo ujawnioną luką w systemie Microsoft Windows – CVE-2025-59230. Jest to poważna podatność, umożliwiająca lokalnemu atakującemu z niskimi uprawnieniami uzyskanie...
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

W środę 9 października użytkownicy platformy Microsoft Azure na całym świecie doświadczyli poważnych zakłóceń. Wiele usług stało się niedostępnych, a administratorzy nie mogli nawet zalogować się do portalu...
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Niedawno załatana wysoce poważna luka w zabezpieczeniach VMware jest wykorzystywana jako zero-day od października 2024 roku do wykonywania kodu z podwyższonymi uprawnieniami. Taką informacją podzieliło się w...