De Iraanse staatsgesteunde hackgroep belde APT42 maakt gebruik van verbeterde social engineering-programma's om doelnetwerken en cloudomgevingen te infiltreren.
Doelwitten van de aanval zijn onder meer NGO's uit het Westen en het Midden-Oosten, mediaorganisaties, de academische wereld, juridische diensten en activisten, zei Google Cloud-dochter Mandiant in een rapport dat vorige week werd gepubliceerd.
“APT42 werd waargenomen als journalisten en organisatoren van evenementen om vertrouwen op te bouwen bij hun slachtoffers door middel van voortdurende correspondentie, en om uitnodigingen voor conferenties of legitieme documenten te bezorgen”, aldus het bedrijf.
“Deze social engineering-programma's stelden APT42 in staat om inloggegevens te verzamelen en deze te gebruiken om initiële toegang te krijgen tot cloudomgevingen. Vervolgens exfiltreerde de bedreigingsacteur heimelijk gegevens van strategisch belang voor Iran, terwijl hij vertrouwde op ingebouwde functies en open-sourcetools om detectie te voorkomen .”
APT42 (ook bekend als Damselfly en UNC788), voor het eerst gedocumenteerd door het bedrijf in september 2022, is een door de Iraanse staat gesponsorde cyberspionagegroep die belast is met het uitvoeren van informatieverzamelings- en surveillanceoperaties tegen individuen en organisaties van strategisch belang voor de Iraanse regering.
Er wordt aangenomen dat het een subset is van een andere beruchte dreigingsgroep die wordt gevolgd als APT35, die ook bekend staat onder verschillende namen CALANQUE, CharmingCypress, Charming Kitten, ITG18, Mint Sandstorm (voorheen Phosphorus), Newscaster, TA453 en Yellow Garuda.
Beide groepen zijn aangesloten bij de Iraanse Islamitische Revolutionaire Garde (IRGC), maar opereren met verschillende doelstellingen.
Terwijl Charming Kitten zich meer richt op langdurige, malware-intensieve operaties gericht op organisaties en bedrijven in de VS en het Midden-Oosten om gegevens te stelen. APT42 richt zich daarentegen op specifieke individuen en organisaties die het regime in de gaten houdt met het oog op de binnenlandse politiek, het buitenlands beleid en de stabiliteit van het regime.
Eerder dit jaar schreef Microsoft de Charming Kitten-acteur toe aan phishing-campagnes gericht op spraakmakende personen die sinds november 2023 aan universiteiten en onderzoeksorganisaties in België, Frankrijk, Gaza, Israël, het VK en de VS werken aan zaken in het Midden-Oosten.
Het is bekend dat de aanvallen van de groep uitgebreide inloggegevens omvatten om inloggegevens van Microsoft, Yahoo en Google te verzamelen via spearphishing-e-mails die kwaadaardige links bevatten om documenten te lokken die de ontvangers omleiden naar een valse inlogpagina.
In deze campagnes is waargenomen dat de tegenstander e-mails verstuurt vanuit domeinen die de oorspronkelijke entiteiten typosquanteren en zich voordoen als nieuwskanalen; legitieme diensten zoals Dropbox, Google Meet, LinkedIn en YouTube; en mailer-daemons en tools voor het verkorten van URL's.
De aanvallen op het stelen van inloggegevens worden aangevuld met data-exfiltratie-activiteiten die zich richten op de publieke cloudinfrastructuur van de slachtoffers om documenten te bemachtigen die van belang zijn voor Iran, maar alleen nadat ze hun vertrouwen hebben gewonnen – iets waar Charming Kitten goed thuis in is.
“Deze operaties begonnen met verbeterde social engineering-programma’s om de eerste toegang te krijgen tot slachtoffernetwerken, waarbij vaak sprake was van voortdurende vertrouwenwekkende correspondentie met het slachtoffer,” zei Mandiant.
“Alleen dan worden de gewenste inloggegevens verkregen en wordt multi-factor authenticatie (MFA) omzeild, door een gekloonde website aan te bieden om het MFA-token vast te leggen (wat mislukte) en later door MFA-pushmeldingen naar het slachtoffer te sturen (wat slaagde). “
In een poging om zijn sporen te verbergen en op te vallen, is gebleken dat de tegenstander zich baseert op openbaar beschikbare tools, bestanden exfiltreert naar een OneDrive-account dat zich voordoet als de organisatie van het slachtoffer, en VPN en een geanonimiseerde infrastructuur gebruikt om te communiceren met de gecompromitteerde omgeving.
Ook gebruikt door APT42 zijn twee aangepaste achterdeurtjes die fungeren als springplank om extra malware te implementeren of om handmatig opdrachten op het apparaat uit te voeren –
- NICECURL (ook bekend als BASICSTAR) – Een achterdeur geschreven in VBScript die extra modules kan downloaden om uit te voeren, inclusief datamining en willekeurige uitvoering van opdrachten
- TAMECAT – Een PowerShell-steun die willekeurige PowerShell- of C#-inhoud kan uitvoeren
Het is vermeldenswaard dat NICECURL eerder in februari 2024 werd ontleed door cyberbeveiligingsbedrijf Volexity in verband met een reeks cyberaanvallen gericht op beleidsexperts uit het Midden-Oosten.
“APT42 is relatief gefocust gebleven op het verzamelen van inlichtingen en het richten van soortgelijke slachtofferactiviteiten, ondanks de oorlog tussen Israël en Hamas die andere Iraanse actoren ertoe heeft aangezet zich aan te passen door ontwrichtende, destructieve en hack-en-lek-activiteiten uit te voeren”, concludeerde Mandiant.
“De methoden die door APT42 worden ingezet, laten een minimale voetafdruk achter en kunnen de detectie en beperking van hun activiteiten een grotere uitdaging maken voor netwerkverdedigers.”
