Un actor de amenazas persistentes avanzadas (APT) patrocinado por el estado recientemente bautizado como APT42 (anteriormente UNC788) ha sido atribuido a m\u00e1s de 30 ataques de espionaje confirmados contra personas y organizaciones de inter\u00e9s estrat\u00e9gico para el gobierno iran\u00ed al menos desde 2015.<\/p>\n
La firma de seguridad cibern\u00e9tica Mandiant dijo que el grupo opera como el brazo de recopilaci\u00f3n de inteligencia del Cuerpo de la Guardia Revolucionaria Isl\u00e1mica de Ir\u00e1n (IRGC), sin mencionar que comparte superposiciones parciales con otro grupo llamado APT35, que tambi\u00e9n se conoce como Charming Kitten, Cobalt Illusion, ITG18, Phosphorus, TA453. y Garuda amarilla.<\/p>\n
APT42 ha mostrado una propensi\u00f3n a atacar varias industrias, como organizaciones sin fines de lucro, educaci\u00f3n, gobiernos, atenci\u00f3n m\u00e9dica, legal, fabricaci\u00f3n, medios y productos farmac\u00e9uticos que abarcan al menos 14 pa\u00edses, incluidos Australia, Europa, Medio Oriente y EE. UU.<\/p>\n
Las intrusiones dirigidas al sector farmac\u00e9utico tambi\u00e9n son notables por el hecho de que comenzaron al inicio de la pandemia de COVID-19 en marzo de 2020, lo que indica la capacidad del actor de amenazas para modificar r\u00e1pidamente sus campa\u00f1as para cumplir con sus prioridades operativas.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n“APT42 utiliza t\u00e9cnicas de ingenier\u00eda social y de phishing dirigido altamente dirigidas dise\u00f1adas para generar confianza y una buena relaci\u00f3n con sus v\u00edctimas para acceder a sus cuentas de correo electr\u00f3nico personales o corporativas o para instalar malware de Android en sus dispositivos m\u00f3viles”, Mandiant dijo<\/a> en un informe<\/p>\n El objetivo es explotar las relaciones de confianza fraudulentas para robar credenciales, lo que permite que el actor de amenazas aproveche el acceso para realizar compromisos de seguimiento de las redes corporativas para recopilar datos confidenciales y usar las cuentas violadas para suplantar a v\u00edctimas adicionales.<\/p>\n Las cadenas de ataque involucran una combinaci\u00f3n de mensajes de phishing dirigidos a individuos y organizaciones de inter\u00e9s estrat\u00e9gico para Ir\u00e1n. Tambi\u00e9n se conciben con la intenci\u00f3n de generar confianza con ex funcionarios gubernamentales, periodistas, legisladores y la di\u00e1spora iran\u00ed en el extranjero con la esperanza de distribuir malware.<\/p>\n Adem\u00e1s de usar cuentas de correo electr\u00f3nico pirateadas asociadas con grupos de expertos para atacar a investigadores y otras organizaciones acad\u00e9micas, a menudo se sabe que APT42 se hace pasar por periodistas y otros profesionales para interactuar con las v\u00edctimas durante varios d\u00edas o incluso semanas antes de enviar un enlace malicioso.<\/p>\n En un ataque observado en mayo de 2017, el grupo apunt\u00f3 a miembros de un grupo de oposici\u00f3n iran\u00ed que operaba desde Europa y Am\u00e9rica del Norte con mensajes de correo electr\u00f3nico que conten\u00edan enlaces a p\u00e1ginas deshonestas de Google Books, que redirig\u00edan a las v\u00edctimas a p\u00e1ginas de inicio de sesi\u00f3n dise\u00f1adas para desviar credenciales y dos- c\u00f3digos de autenticaci\u00f3n de factores.<\/p>\n Las operaciones de vigilancia involucran la distribuci\u00f3n de malware para Android como VINETHORN y PINEFLOWER a trav\u00e9s de mensajes de texto que son capaces de grabar audio y llamadas telef\u00f3nicas, extraer contenido multimedia y SMS, y rastrear geolocalizaciones. Una carga \u00fatil de VINETHORN detectada entre abril y octubre de 2021 se hizo pasar por una aplicaci\u00f3n VPN llamada SaferVPN.<\/p>\n “El uso de malware de Android para atacar a personas de inter\u00e9s para el gobierno iran\u00ed proporciona a APT42 un m\u00e9todo productivo para obtener informaci\u00f3n confidencial sobre objetivos, incluidos movimientos, contactos e informaci\u00f3n personal”, se\u00f1alaron los investigadores.<\/p>\n Tambi\u00e9n se dice que el grupo usa una gran cantidad de malware ligero de Windows de vez en cuando: una puerta trasera PowerShell toehold llamada TAMECAT, un cuentagotas de macros basado en VBA llamado TABBYCAT y una macro de shell inversa conocida como VBREVSHELL, para aumentar su recolecci\u00f3n de credenciales y espionaje. actividades.<\/p>\n![\"Ataques](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1662875290_395_APT42-irani-lanzo-mas-de-30-ataques-de-espionaje-contra.jpg\" "\\"Ataques")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n