APT42 olarak bilinen yeni bir devlet destekli hack grubu, ilgilenilen hedeflere casusluk yapmak için özel bir Android kötü amaçlı yazılım kullanılarak keşfedildi.
Siber güvenlik firması, APT42'nin İran hükümetine özel ilgi duyan bireylere ve kuruluşlara karşı siber sorumluluk alan devlet destekli bir tehdit aktörü olduğunu belirlemek için yeterli kanıt topladı.
APT42'nin ilk faaliyet belirtileri yedi yıl öncesine dayanıyor ve hükümet yetkililerini, politika yapıcıları, gazetecileri, dünyadaki akademisyenleri ve İran muhaliflerini hedefleyen uzun mızrak aktı kampanyaları etrafında dönüyor.
Bilgisayar korsanlarının hedefi hesap kimlik bilgilerini çalmaktır. Bununla birlikte, birçok durumda, kurbanları izleyebilen, cihazın depolamasına erişebilen ve iletişim verilerini çıkarabilen özel bir Android kötü amaçlı yazılım gerginliği dağıtırlar.
Yeni hack grubunun faaliyetlerini keşfeden Mantiant'a göre, APT42 2015'ten bu yana 14 ülkede en az 30 operasyon gerçekleştirdi. Ancak bu, muhtemelen izlenmesine izin veren operasyon güvenlik hataları nedeniyle ortaya çıkan sadece küçük bir kısım.
Grup, değişen istihbarat toplama ilgi alanlarına uyacak şekilde hedefleri birden çok kez hedefledi. Örneğin, 2020'de APT42, yabancı ilaçları hedeflemek için bir Oxford Üniversitesi aşıçısını taklit eden kimlik avı e -postalarını kullandı.
2021'de APT42, bir kimlik bilgisi hasat sayfasına çarpmadan önce 37 gün boyunca onlarla etkileşime girerek, sahte görüşme talepleri olan mağdurları hedeflemek için ABD medya kuruluşlarından tehlikeye atılmış e -posta adreslerini kullandı.
Daha yakın zamanlarda, Şubat 2022'de, bilgisayar korsanları Belçika ve Birleşik Arap Emirlikleri'ndeki siyaset bilimi profesörlerini hedeflemek için bir İngiliz haber ajansını taklit etti.
Çoğu durumda, bilgisayar korsanları, kurbanlarını meşru giriş portalları olarak görünmek için yapılan kimlik avı sayfalarına yönlendirerek kimlik bilgisine ulaşmayı amaçladılar.
Bunu ya kısaltılmış bağlantılar göndererek ya da MFA kodlarını ele geçirebilen kimlik bilgisi hasat sayfalarına yol açan düğmeler içeren bir PDF eki göndererek yaparlar.
APT42 kampanyalarında kullanılan mobil kötü amaçlı yazılım suşu, tehdit oyuncusunun en yüksek faizli hedeflerini yakından takip etmesine, telefon görüşmelerini, SMS gelen kutularını ve oda ses kayıtlarını günlük olarak sürdürmesine yardımcı olur.
Mantiant, Android casus yazılımlarının öncelikle, hükümet tarafından uygulanan kısıtlamaları atlamaya yardımcı olabilecek bir mesajlaşma veya VPN uygulamasına bağlantılar içeren SMS metinleri aracılığıyla İran hedeflerine yayıldığını söylüyor.
Teknik raporda, "İran hükümetine ilgi duyan bireyleri hedeflemek için Android kötü amaçlı yazılım kullanımı, APT42'ye hareket, temas ve kişisel bilgiler de dahil olmak üzere hedefler hakkında hassas bilgi edinme yöntemi sağlıyor."
"Grubun telefon görüşmelerini kaydetme, mikrofonu etkinleştirme ve sesi kaydetme, görüntüleri açıklama ve komuta fotoğraf çekme, SMS mesajlarını okuma ve kurbanın GPS konumunu gerçek zamanlı olarak izleme yeteneği, gerçek dünya riski oluşturuyor. Bu kampanya. "
Bununla birlikte, Mantiant ayrıca Arapça IM uygulamalarını indirmek için açılış sayfalarını keşfettiğini bildiriyor, bu nedenle tehdit aktörleri de Android kötü amaçlı yazılımları İran dışındaki konuşlandırmış olabilir.
APT42, bir dayanak oluşturmak ve ağda ayrıcalıkları artırmalarını ve keşif yapmalarını sağlayacak kimlik bilgileri oluşturmak için Windows sistemlerinde zengin bir dizi hafif özel kötü amaçlı yazılım kullanır.
Lateral hareket için, bilgisayar korsanları uzlaşan kullanıcının meslektaşlarına kimlik avı e -postaları gönderir. Aynı zamanda, yeni ihlal edilen sistemlerde varlık, planlanan görevler ve yeni Windows kayıt defteri anahtarları eklenerek güvence altına alınır.
Mantiant, Microsoft tarafından Kasım 2021'de bildirilen BitLocker'ı kullanarak APT42'nin TTP'leri ile fidye yazılımı etkinliği arasındaki bir bağlantıyı vurgular.
Microsoft raporunu, "Gözlemlenen bir kampanyada Fosforus, Fortinet FortiOS SSL VPN'sini hedef aldı ve şirket içi değişim sunucularını, savunmasız ağlara fidye yazılımlarını dağıtmak amacıyla küresel olarak açtı."
Microsoft, raporunda 'fosfor' tehdidi kümesini seçerken, Mantiant şimdi APT35 ile birlikte saldırıları APT42'ye bağlayacak yeterli teknik ve OSINT kanıtı olduğunu söylüyor.
Son olarak, Mantiant, APT42 ve APT35'in ABD'nin terör örgütü olarak belirlediği IRGC'nin (İslam Devrim Muhafız Kolordusu) tutkusu olduğuna dair ılımlı bir güvenle değerlendirildi.
Hackerlar Dracarys Android kötü amaçlı yazılımları değiştirilmiş sinyal uygulamasını kullanarak yükleyin
Facebook, Hackers tarafından kullanılan yeni Android kötü amaçlı yazılım bulur
Rus hackerlar Ukraynalı aktivistlere enfekte etmek için sahte DDOS uygulaması kullanıyor
Belçika, Çinli hackerların Savunma Bakanlığına saldırdığını söylüyor
Bilgisayar korsanları gazeteci olarak News Media Org’un ağlarını ihlal etmek için poz veriyor
Kaynak: Bleeping Computer