APT42 olarak bilinen İran devlet destekli yeni bir bilgisayar korsanlığı grubu, ilgilenilen hedefleri gözetlemek için özel bir Android kötü amaçlı yazılım kullandığı keşfedildi.
Siber güvenlik firması, APT42’nin İran hükümetini özellikle ilgilendiren bireylere ve kuruluşlara karşı siber casusluk yapan devlet destekli bir tehdit aktörü olduğunu belirlemek için yeterli kanıt topladı.
APT42’nin ilk faaliyet belirtileri yedi yıl öncesine kadar uzanıyor ve dünya genelindeki hükümet yetkililerini, politika yapıcıları, gazetecileri, akademisyenleri ve İranlı muhalifleri hedef alan uzun mızraklı kimlik avı kampanyaları etrafında dönüyor.
Bilgisayar korsanlarının amacı hesap kimlik bilgilerini çalmaktır. Ancak çoğu durumda, kurbanları takip edebilen, cihazın deposuna erişebilen ve iletişim verilerini çıkarabilen özel bir Android kötü amaçlı yazılım türü de kullanıyorlar.
Kampanyalar ve hedefler
Göre MandiantYeni hack grubunun faaliyetlerini keşfeden APT42, 2015’ten bu yana 14 ülkede en az 30 operasyon gerçekleştirdi. Ancak, bu muhtemelen takip edilmelerine izin veren operasyon güvenliği hataları nedeniyle ortaya çıkan sadece küçük bir kısım.
Grup, değişen istihbarat toplama ilgi alanlarına uyması için birçok kez hedef değiştirdi. Örneğin, 2020’de APT42, yabancı ilaçları hedeflemek için bir Oxford Üniversitesi aşı uzmanının kimliğine bürünen kimlik avı e-postalarını kullandı.
2021’de APT42, sahte röportaj talepleri olan kurbanları hedeflemek için ABD medya kuruluşlarından gelen güvenliği ihlal edilmiş e-posta adreslerini kullandı ve bir kimlik bilgisi toplama sayfasıyla saldırmadan önce 37 gün boyunca onlarla etkileşime girdi.
Daha yakın zamanlarda, Şubat 2022’de bilgisayar korsanları, Belçika ve Birleşik Arap Emirlikleri’ndeki siyaset bilimi profesörlerini hedef almak için bir İngiliz haber ajansının kimliğine büründü.
Çoğu durumda, bilgisayar korsanları kurbanlarını meşru giriş portalları olarak görünen kimlik avı sayfalarına yönlendirerek kimlik bilgilerini toplamayı amaçladı.
Bunu ya kısaltılmış bağlantılar göndererek ya da MFA kodlarını yakalayabilen kimlik bilgisi toplama sayfalarına yönlendiren düğmeler içeren bir PDF eki göndererek yaparlar.
Android kötü amaçlı yazılım
APT42 kampanyalarında kullanılan mobil kötü amaçlı yazılım türü, tehdit aktörünün en ilgi çekici hedeflerini yakından takip etmesine, telefon aramalarını, SMS gelen kutularını ve oda ses kayıtlarını günlük olarak sızdırmasına yardımcı olur.
Mandiant, Android casus yazılımının öncelikli olarak bir mesajlaşma veya VPN uygulamasına bağlantılar içeren SMS metinleri yoluyla İranlı hedeflere yayıldığını ve bu sayede hükümet tarafından getirilen kısıtlamaları aşmaya yardımcı olabileceğini söylüyor.
Mandiant, “İran hükümetini ilgilendiren kişileri hedef almak için Android kötü amaçlı yazılımının kullanılması, APT42’ye hareket, kişiler ve kişisel bilgiler de dahil olmak üzere hedefler hakkında hassas bilgiler elde etmek için verimli bir yöntem sağlıyor” diyor. teknik rapor.
“Grubun kanıtlanmış telefon görüşmelerini kaydetme, mikrofonu etkinleştirme ve sesi kaydetme, görüntüleri sızdırma ve komut üzerine resim çekme, SMS mesajlarını okuma ve kurbanın GPS konumunu gerçek zamanlı olarak takip etme yeteneği, bireysel mağdurlar için gerçek dünyada bir risk oluşturuyor. bu kampanya.”
Ancak Mandiant, Arapça IM uygulamaları indirmek için açılış sayfalarının keşfedildiğini de bildiriyor, bu nedenle tehdit aktörleri Android kötü amaçlı yazılımını İran dışına da yerleştirmiş olabilir.
APT42, Windows sistemlerinde bir dayanak oluşturmak ve kimlik bilgilerini çalmak için Windows sistemlerinde zengin bir hafif özel kötü amaçlı yazılım seti kullanır;
Yanal hareket için bilgisayar korsanları, güvenliği ihlal edilen kullanıcının iş arkadaşlarına kimlik avı e-postaları gönderir. Aynı zamanda, yeni ihlal edilen sistemlerdeki varlık, zamanlanmış görevler ve yeni Windows kayıt defteri anahtarları eklenerek güvence altına alınır.
Fidye yazılımı bağlantıları
Mandiant, APT42’nin TTP’leri ile BitLocker kullanarak fidye yazılımı etkinliği arasındaki bağlantıyı vurgular, Kasım 2021’de bildirildi Microsoft tarafından.
“Gözlenen bir kampanyada, PHOSPHORUS, güvenlik açığı bulunan ağlarda fidye yazılımı dağıtmak amacıyla küresel olarak Fortinet FortiOS SSL VPN’i ve yama uygulanmamış şirket içi Exchange Sunucularını hedef aldı” dedi. Microsoft raporu.
Microsoft raporunda tehdit kümesini ‘Phosphorus’ olarak adlandırırken, Mandiant artık saldırıları APT35 ile birlikte APT42’ye bağlamak için yeterli teknik ve OSINT kanıtı olduğunu söylüyor.
Son olarak Mandiant, APT42 ve APT35’in her ikisinin de ABD’nin terör örgütü olarak tanımladığı IRGC’nin (İslam Devrim Muhafızları Kolordusu) kolları olduğunu orta derecede bir güvenle değerlendirdi.