histats

L’APT42 iranien a lancé plus de 30 attaques d’espionnage contre des militants et des dissidents

L’APT42 iranien a lancé plus de 30 attaques d’espionnage contre des militants et des dissidents

Attaques d'espionnage contre les autorités iraniennes

Un acteur de menace persistante avancée (APT) parrainé par l’État récemment surnommé APT42 (anciennement UNC788) a été attribué à plus de 30 attaques d’espionnage confirmées contre des individus et des organisations d’intérêt stratégique pour le gouvernement iranien depuis au moins 2015.

La société de cybersécurité Mandiant a déclaré que le groupe fonctionne comme la branche de collecte de renseignements du Corps des gardiens de la révolution islamique (CGRI) iranien, sans parler des actions qui se chevauchent partiellement avec un autre cluster appelé APT35, également connu sous le nom de Charming Kitten, Cobalt Illusion, ITG18, Phosphorus. , TA453 et Garuda jaune.

APT42 a montré une propension à attaquer diverses industries telles que les organisations à but non lucratif, l’éducation, le gouvernement, la santé, le droit, la fabrication, les médias et les produits pharmaceutiques couvrant au moins 14 pays, dont l’Australie, l’Europe, le Moyen-Orient et les États-Unis.

Les intrusions ciblant le secteur pharmaceutique se distinguent également par le fait qu’elles ont commencé au début de la pandémie de COVID-19 en mars 2020, indiquant la capacité de l’acteur menaçant à modifier rapidement ses campagnes pour répondre à ses priorités opérationnelles.

Cybersécurité

“APT42 utilise des techniques de harponnage et d’ingénierie sociale très ciblées conçues pour établir la confiance et établir des relations avec leurs victimes afin d’accéder à leurs comptes de messagerie personnels ou d’entreprise ou d’installer des logiciels malveillants Android sur leurs appareils mobiles”, a déclaré Mandiant dans un rapport.

L’objectif est d’exploiter les fausses relations de confiance pour voler les informations d’identification, permettant à l’acteur de la menace de tirer parti de l’accès pour effectuer des compromis de suivi des réseaux d’entreprise afin de collecter des données sensibles et d’utiliser les comptes piratés pour hameçonner davantage de victimes.

See also  Okta dit que le piratage par le groupe LAPSUS$ a peut-être capturé 366 jetons

Les chaînes d’attaques impliquent un mélange de messages de harponnage hautement ciblés ciblant des individus et des organisations d’intérêt stratégique pour l’Iran. Ils sont également conçus dans le but d’instaurer la confiance avec d’anciens responsables gouvernementaux, des journalistes, des décideurs politiques et la diaspora iranienne à l’étranger dans l’espoir de diffuser des logiciels malveillants.

En plus d’utiliser des comptes de messagerie piratés liés à des groupes de réflexion pour cibler des chercheurs et d’autres organisations universitaires, APT42 est souvent connu pour se faire passer pour des journalistes et d’autres professionnels pour dialoguer avec les victimes pendant des jours, voire des semaines, avant d’envoyer un lien malveillant.

Attaques d'espionnage contre les autorités iraniennes

Lors d’une attaque observée en mai 2017, le groupe a ciblé les membres d’un groupe d’opposition iranien opérant depuis l’Europe et l’Amérique du Nord avec des e-mails contenant des liens vers des pages Google Books voyous, qui redirigeaient les victimes vers des pages de connexion conçues pour siphonner les informations d’identification et les codes d’authentification à deux facteurs.

Les opérations de surveillance impliquent la distribution de logiciels malveillants Android tels que VINETHORN et PINEFLOWER via des messages texte capables d’enregistrer des appels audio et téléphoniques, d’extraire du contenu multimédia et des SMS et de suivre les géolocalisations. Une charge utile VINETHORN découverte entre avril et octobre 2021 se faisait passer pour une application VPN appelée SaferVPN.

“L’utilisation de logiciels malveillants Android pour cibler des personnes présentant un intérêt pour le gouvernement iranien fournit à APT42 une méthode productive pour obtenir des informations sensibles sur des cibles, notamment des mouvements, des contacts et des informations personnelles”, ont noté les chercheurs.

See also  Elon Musk Quantum AI Scam? - What is it? Reviews 2022: The Tribune India

On dit également que le groupe utilise de temps en temps une variété de logiciels malveillants Windows légers – une porte dérobée PowerShell appelée TAMECAT, un compte-gouttes de macros basé sur VBA appelé TABBYCAT et une macro de shell inversée connue sous le nom de VBREVSHELL – pour augmenter leur capture et leur espionnage. Activités.

Cybersécurité

Les liens d’APT42 vers APT35 proviennent de liens vers un cluster de menaces non catégorisé suivi comme UNC2448, que Microsoft (DEV-0270) et Secureworks (Cobalt Mirage) ont révélé comme un sous-groupe Phosphorus qui mène des attaques de rançongiciels à des fins financières à l’aide de BitLocker.

L’analyse de Mandiant donne encore plus de crédit à la conclusion de Microsoft selon laquelle DEV-0270/UNC2448 est exploité par une société écran utilisant deux alias publics, à savoir Secnerd et Lifeweb, tous deux liés à Najee Technology Hooshmand.

Cela dit, les deux collectifs opposés, malgré leur affiliation au CGRI, sont soupçonnés d’être issus de missions différentes en raison de différences dans les schémas de ciblage et les tactiques utilisées.

Un point clé est qu’alors qu’APT35 est orientée vers des opérations à long terme et à forte intensité de ressources ciblant divers secteurs verticaux de l’industrie aux États-Unis et au Moyen-Orient, les activités d’APT42 se concentrent sur les individus et les entités pour “la politique intérieure, la politique étrangère et la stabilité du régime”. objectif.”

“Le groupe a démontré sa capacité à changer rapidement son orientation opérationnelle alors que les priorités de l’Iran changent au fil du temps avec l’évolution des conditions nationales et géopolitiques”, ont déclaré les chercheurs.

See also  Un piratage important de l'iPhone que tout le monde devrait savoir - l'ignorer pourrait vous plonger dans l'eau chaude

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *