据 Google 旗下的 Mandiant 安全团队报道,伊朗网络间谍组织 APT42 在最近针对非政府组织、政府和政府间组织的攻击中一直使用两个新的后门。
APT42 也被追踪为 Calanque 和 UNC788,至少自 2015 年以来一直活跃,据信它代表伊斯兰革命卫队 (IRGC) 运作,该组织是伊朗情报机构的一部分。
据观察,该组织以西方和中东国家的学术界、活动人士、法律服务机构、媒体组织和非政府组织为目标,通常依靠社会工程计划,冒充记者和活动组织者来获取受害者的信任。
APT42 使用从受害者那里获取的凭据来访问云环境并窃取感兴趣的数据,并依靠开源工具和内置功能来避免检测。
APT42 凭证收集活动攻击生命周期
通过深入研究该组织的活动,Mandian 发现了三个基础设施集群,这些基础设施用于针对政府部门、记者、非政府组织和活动人士的广泛凭证收集活动。
第一个集群伪装成媒体组织和非政府组织,自 2021 年以来一直活跃,其目标是记者、地缘政治实体和研究人员,其虚假新闻文章的链接被重定向到 Google 登录网络钓鱼页面。
鱼叉式网络钓鱼电子邮件
第二个集群自 2019 年以来一直活跃,冒充合法服务,以研究人员、记者、非政府组织和活动人士为目标,提供活动邀请或托管在云基础设施上的合法文档,要求用户提供登录凭据。
APT42使用的虚假Gmail登录页面
通过 Dropbox(左)共享的 APT42 诱饵包含与妇女权利相关的内容(右)
第三个集群自 2022 年以来一直活跃,冒充非政府组织、Bitly URL 缩短服务和“Mailer Daemon”,目标是与美国和以色列的学术、国防和外交问题相关的实体,并提供邀请函和合法文件的链接。
APT42云操作攻击流程
此外,在 2022 年和 2023 年,APT42 在获取受害者凭据并通过推送通知绕过多重身份验证 (MFA) 后,从美国和英国的法律服务实体和非政府组织的 Microsoft 365 环境中窃取了感兴趣的文档。
在最近的攻击中,网络间谍组织部署了 Nicecurl 和 Tamecat 定制后门,针对与伊朗和中东问题相关的非政府组织、政府或政府间组织进行攻击。
Nicecurl 用 VBScript 编写,可以在受感染的计算机上放置其他模块,包括一个用于数据收集的模块和另一个用于执行任意命令的模块。2024 年 1 月和 2 月,APT42 冒充中东研究所和美国智库传播后门。
Tamecat 是一种能够执行 PowerShell 和 C# 内容的 PowerShell 工具,通过带有恶意宏的文档进行分发。
“尽管以色列与哈马斯的战争导致其他与伊朗有联系的行为体通过进行破坏性、破坏性和黑客泄露活动来适应,但 APT42 仍然相对专注于情报收集和针对类似的受害者。除了在受感染的设备上部署定制植入程序之外,APT42 还被观察到进行广泛的云操作。”Mandiant 指出。
该网络安全公司还指出,APT42 的一些活动与臭名昭著的伊朗黑客组织Charming Kitten的活动重叠,该组织也被追踪为 Mint Sandstorm、Phosphorus、 TA453、ITG18 和 Yellow Garuda。
