伊朗国家支持的黑客组织APT42正在利用增强的社会工程方案渗透目标网络和云环境。
谷歌云子公司 Mandiant 在上周发布的一份报告中表示,攻击的目标包括西方和中东非政府组织、媒体组织、学术界、法律服务和活动人士。
该公司表示:“据观察,APT42冒充记者和活动组织者,通过持续通信与受害者建立信任,并发送会议邀请或合法文件。 ”
“这些社会工程方案使 APT42 能够获取凭据并使用它们来获得对云环境的初始访问权限。随后,威胁行为者秘密窃取了对伊朗具有战略利益的数据,同时依靠内置功能和开源工具来避免检测”。
APT42(又名 Damselfly 和 UNC788)于 2022 年 9 月首次由该公司记录,是一个伊朗国家支持的网络间谍组织,其任务是针对伊朗政府具有战略利益的个人和组织进行信息收集和监视行动。
它被评估为另一个臭名昭著的威胁组织 APT35 的子集,该组织也有各种名称 CALANQUE、CharmingCypress、Charming Kitten、ITG18、Mint Sandstorm(以前称为 Phosphorus)、Newcaster、TA453 和 Yellow Garuda。
这两个组织都隶属于伊朗伊斯兰革命卫队(IRGC),但有着不同的目标。
而 Charming Kitten 则更侧重于针对美国和中东的组织和公司窃取数据的长期恶意软件密集型操作。相比之下,APT42 针对的是政权出于国内政治、外交政策和政权稳定的目的而关注的特定个人和组织。
今年 1 月初,微软将这位 Charming Kitten 演员归咎于自 2023 年 11 月以来针对比利时、法国、加沙、以色列、英国和美国的大学和研究组织中从事中东事务的知名人士发起的网络钓鱼活动。
据了解,该组织发动的攻击涉及广泛的凭据收集操作,通过包含恶意链接的鱼叉式网络钓鱼电子邮件收集 Microsoft、Yahoo 和 Google 凭据,以引诱将收件人重定向到虚假登录页面的文档。
在这些活动中,我们观察到对手从对原始实体进行拼写错误并伪装成新闻媒体的域发送电子邮件; Dropbox、Google Meet、LinkedIn 和 YouTube 等合法服务;以及邮件程序守护进程和 URL 缩短工具。
夺取凭证的攻击还辅以针对受害者公共云基础设施的数据泄露活动,以获取伊朗感兴趣的文件,但前提是要获得伊朗的信任——这是 Charming Kitten 所擅长的。
曼迪安特说:“这些行动始于增强的社会工程计划,以获得对受害者网络的初步访问,通常涉及与受害者持续建立信任的通信。”
“只有这样,才能获取所需的凭据,并通过提供克隆网站来捕获 MFA 令牌(失败),然后向受害者发送 MFA 推送通知(成功),从而绕过多重身份验证 (MFA)。”
为了掩盖其踪迹并融入其中,攻击者被发现依赖公开可用的工具,将文件窃取到伪装成受害者组织的 OneDrive 帐户,并使用 VPN 和匿名基础设施与受感染的环境进行交互。
APT42 还使用两个自定义后门,它们充当部署其他恶意软件或在设备上手动执行命令的跳转点 –
NICECURL(又名 BASICSTAR) – 用 VBScript 编写的后门,可以下载要执行的附加模块,包括数据挖掘和任意命令执行
TAMECAT – 可以执行任意 PowerShell 或 C# 内容的 PowerShell 立足点
值得注意的是,NICECURL此前曾于 2024 年 2 月被网络安全公司 Volexity 剖析,原因是该网络与一系列针对中东政策专家的网络攻击有关。
Mandiant 总结道:“尽管以色列与哈马斯的战争导致其他与伊朗有联系的行为体通过进行破坏性、破坏性和黑客泄露活动来适应,但APT42 仍然相对专注于情报收集和针对类似的受害者。”
“APT42 部署的方法留下的足迹最小,可能会使网络防御者检测和缓解其活动变得更具挑战性。”
发表评论
您还未登录,请先登录。
登录