Irańscy cyberprzestępcy
Grupa APT42, znana również pod nazwami Damselfly i UNC788, wykorzystuje wyrafinowane metody socjotechniczne. Polegają one na podszywaniu się pod dziennikarzy i organizatorów wydarzeń. Działania te mają na celu zbudowanie zaufania wśród niczego nieświadomych ofiar, które są później nakłaniane do ujawnienia swoich danych uwierzytelniających.
Wykorzystując fałszywe zaproszenia na konferencje czy wysyłając domniemane istotne dokumenty, APT42 otwiera sobie drogę do systemów chmurowych organizacji pozarządowych, mediów, środowisk akademickich i prawnych, a także aktywistów z Zachodu i Bliskiego Wschodu.
Jak wynika z informacji podanych przez firmę Mandiant, specjalizującą się w cyberbezpieczeństwie, APT42 używa publicznie dostępnych narzędzi i technik open source, co znacząco utrudnia ich wykrycie. To pozwala im skutecznie wydobywać dane o znaczeniu strategicznym dla Iranu, minimalizując przy tym ryzyko identyfikacji.
Eksperci podkreślają, że takie działania stanowią ogromne wyzwanie dla obrońców sieci, którzy muszą nieustannie rozwijać swoje metody, aby nadążyć za coraz bardziej wyrafinowanymi technikami cyberprzestępców.
APT42 atakuje organizacje z całego świata
Chociaż APT42 jest mniej znana niż jej „siostrzana” grupa APT35, to jednak jej działania są równie skuteczne i skoncentrowane na precyzyjnie wybranych celach. Co ważne – obie grupy są powiązane z tzw. irańskimk Korpusem Strażników Rewolucji Islamskiej, stanowiącej jedną z dwóch gałęzi irańskich sił zbrojnych, obok Armii Islamskiej Republiki Iranu.
Operacje, które prowadzi APT42, często rozpoczynają się od wyłudzenia danych uwierzytelniających, które umożliwiają późniejszą eksfiltrację ważnych informacji z chmur ofiar. To właśnie zdolność do długotrwałego budowania zaufania z ofiarami, zanim przejdą do działania, jest jedną z kluczowych strategii APT42.
Jednym z celów irańskich cyberprzestępców są pracownicy takich firm jak Google, Yahoo czy Microsoft. W tym celu oprócz wspomnianego podszywania się wykorzystują technikę spear-pishingu.
APT42 wykorzystuje również dwa niestandardowe backdoory, które działają jako punkt wyjścia do wdrożenia dodatkowego złośliwego oprogramowania lub do ręcznego wykonywania poleceń na urządzeniu -
NICECURL (aka BASICSTAR) — Backdoor napisany w VBScript, który może pobrać dodatkowe moduły do wykonania, w tym eksplorację danych i wykonanie dowolnych poleceń
TAMECAT — uchwyt PowerShell, który może wykonywać dowolną zawartość PowerShell lub C#
Jak chronić się przed APT42?
Cyberataki przeprowadzane przez APT42 nie tylko stawiają pod znakiem zapytania bezpieczeństwo danych osobowych i korporacyjnych na całym świecie, ale również podkreślają potrzebę globalnej świadomości i współpracy w dziedzinie cyberbezpieczeństwa.
Z każdym dniem cyberprzestępcy stają się sprytniejsi, a ich metody bardziej wyrafinowane, co oznacza, że zarówno indywidualni użytkownicy, jak i duże organizacje muszą nieustannie podnosić poziom swoich zabezpieczeń, aby sprostać tym zagrożeniom.
Jako społeczeństwo, musimy być czujni i edukować się w zakresie najlepszych praktyk cyberbezpieczeństwa, aby skutecznie przeciwdziałać takim zagrożeniom, jak te, które stawiają przed nami cyberprzestępcy z grupy APT42.
