Un actor de amenazas persistentes avanzadas (APT) patrocinado por el estado recientemente bautizado como APT42 (anteriormente UNC788) ha sido atribuido a más de 30 ataques de espionaje confirmados contra personas y organizaciones de interés estratégico para el gobierno iraní al menos desde 2015.
La firma de seguridad cibernética Mandiant dijo que el grupo opera como el brazo de recopilación de inteligencia del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), sin mencionar que comparte superposiciones parciales con otro grupo llamado APT35, que también se conoce como Charming Kitten, Cobalt Illusion, ITG18, Phosphorus, TA453. y Garuda amarilla.
APT42 ha mostrado una propensión a atacar varias industrias, como organizaciones sin fines de lucro, educación, gobiernos, atención médica, legal, fabricación, medios y productos farmacéuticos que abarcan al menos 14 países, incluidos Australia, Europa, Medio Oriente y EE. UU.
Las intrusiones dirigidas al sector farmacéutico también son notables por el hecho de que comenzaron al inicio de la pandemia de COVID-19 en marzo de 2020, lo que indica la capacidad del actor de amenazas para modificar rápidamente sus campañas para cumplir con sus prioridades operativas.
«APT42 utiliza técnicas de ingeniería social y de phishing dirigido altamente dirigidas diseñadas para generar confianza y una buena relación con sus víctimas para acceder a sus cuentas de correo electrónico personales o corporativas o para instalar malware de Android en sus dispositivos móviles», Mandiant dijo en un informe
El objetivo es explotar las relaciones de confianza fraudulentas para robar credenciales, lo que permite que el actor de amenazas aproveche el acceso para realizar compromisos de seguimiento de las redes corporativas para recopilar datos confidenciales y usar las cuentas violadas para suplantar a víctimas adicionales.
Las cadenas de ataque involucran una combinación de mensajes de phishing dirigidos a individuos y organizaciones de interés estratégico para Irán. También se conciben con la intención de generar confianza con ex funcionarios gubernamentales, periodistas, legisladores y la diáspora iraní en el extranjero con la esperanza de distribuir malware.
Además de usar cuentas de correo electrónico pirateadas asociadas con grupos de expertos para atacar a investigadores y otras organizaciones académicas, a menudo se sabe que APT42 se hace pasar por periodistas y otros profesionales para interactuar con las víctimas durante varios días o incluso semanas antes de enviar un enlace malicioso.
En un ataque observado en mayo de 2017, el grupo apuntó a miembros de un grupo de oposición iraní que operaba desde Europa y América del Norte con mensajes de correo electrónico que contenían enlaces a páginas deshonestas de Google Books, que redirigían a las víctimas a páginas de inicio de sesión diseñadas para desviar credenciales y dos- códigos de autenticación de factores.
Las operaciones de vigilancia involucran la distribución de malware para Android como VINETHORN y PINEFLOWER a través de mensajes de texto que son capaces de grabar audio y llamadas telefónicas, extraer contenido multimedia y SMS, y rastrear geolocalizaciones. Una carga útil de VINETHORN detectada entre abril y octubre de 2021 se hizo pasar por una aplicación VPN llamada SaferVPN.
«El uso de malware de Android para atacar a personas de interés para el gobierno iraní proporciona a APT42 un método productivo para obtener información confidencial sobre objetivos, incluidos movimientos, contactos e información personal», señalaron los investigadores.
También se dice que el grupo usa una gran cantidad de malware ligero de Windows de vez en cuando: una puerta trasera PowerShell toehold llamada TAMECAT, un cuentagotas de macros basado en VBA llamado TABBYCAT y una macro de shell inversa conocida como VBREVSHELL, para aumentar su recolección de credenciales y espionaje. actividades.
Los enlaces de APT42 a APT35 provienen de enlaces a un grupo de amenazas sin categorizar rastreado como UNC2448, que Microsoft (DEV-0270) y Secureworks (Cobalt Mirage) revelaron como un subgrupo de Phosphorus que realiza ataques de ransomware para obtener ganancias financieras utilizando BitLocker.
El análisis de Mandiant da más credibilidad a los hallazgos de Microsoft de que DEV-0270/UNC2448 es operado por una empresa fachada que utiliza dos alias públicos, a saber, Secnerd y Lifeweb, los cuales están conectados a Najee Technology Hooshmand.
Habiendo dicho eso, se sospecha que los dos colectivos adversarios, a pesar de su afiliación con IRGC, se originan en misiones dispares basadas en diferencias en los patrones de objetivos y las tácticas empleadas.
Un punto clave de distinción es que, si bien APT35 está orientado hacia operaciones a largo plazo que requieren muchos recursos y se enfocan en diferentes sectores verticales de la industria en los EE. fines».
“El grupo ha demostrado su capacidad para alterar rápidamente su enfoque operativo a medida que las prioridades de Irán cambian con el tiempo con la evolución de las condiciones nacionales y geopolíticas”, dijeron los investigadores.