Un acteur de menace persistante avancée (APT) parrainé par l’État nouvellement baptisé APT42 (anciennement UNC788) a été attribué à plus de 30 attaques d’espionnage confirmées contre des individus et des organisations d’intérêt stratégique pour le gouvernement iranien au moins depuis 2015.
La société de cybersécurité Mandiant a déclaré que le groupe fonctionne comme la branche de collecte de renseignements du Corps des gardiens de la révolution islamique (CGRI) iranien, sans parler des partages de chevauchements partiels avec un autre cluster appelé APT35, également connu sous le nom de Charming Kitten, Cobalt Illusion, ITG18, Phosphorus, TA453. , et Garuda jaune.
APT42 a montré une propension à frapper divers secteurs tels que les organisations à but non lucratif, l’éducation, les gouvernements, les soins de santé, le droit, la fabrication, les médias et les produits pharmaceutiques dans au moins 14 pays, notamment en Australie, en Europe, au Moyen-Orient et aux États-Unis.
Les intrusions visant le secteur pharmaceutique se distinguent également par le fait qu’elles ont commencé au début de la pandémie de COVID-19 en mars 2020, indiquant la capacité de l’acteur menaçant à modifier rapidement ses campagnes afin de répondre à ses priorités opérationnelles.
« APT42 utilise des techniques de harponnage et d’ingénierie sociale très ciblées conçues pour établir une relation de confiance avec leurs victimes afin d’accéder à leurs comptes de messagerie personnels ou d’entreprise ou d’installer des logiciels malveillants Android sur leurs appareils mobiles », a déclaré Mandiant. a dit dans un rapport.
L’objectif est d’exploiter les relations de confiance frauduleuses pour voler les informations d’identification, permettant à l’auteur de la menace de tirer parti de l’accès pour effectuer des compromis de suivi des réseaux d’entreprise afin de collecter des données sensibles et d’utiliser les comptes piratés pour hameçonner d’autres victimes.
Les chaînes d’attaques impliquent un mélange de messages de harponnage hautement ciblés destinés aux individus et aux organisations d’intérêt stratégique pour l’Iran. Ils sont également conçus dans le but d’instaurer la confiance avec d’anciens responsables gouvernementaux, des journalistes, des décideurs et la diaspora iranienne à l’étranger dans l’espoir de diffuser des logiciels malveillants.
En plus d’utiliser des comptes de messagerie piratés associés à des groupes de réflexion pour cibler des chercheurs et d’autres organisations universitaires, APT42 est souvent connu pour se faire passer pour des journalistes et d’autres professionnels pour dialoguer avec les victimes pendant plusieurs jours, voire des semaines avant d’envoyer un lien malveillant.
Lors d’une attaque observée en mai 2017, le groupe a ciblé des membres d’un groupe d’opposition iranien opérant depuis l’Europe et l’Amérique du Nord avec des e-mails contenant des liens vers des pages Google Books voyous, qui redirigeaient les victimes vers des pages de connexion conçues pour siphonner les informations d’identification et deux- codes d’authentification des facteurs.
Les opérations de surveillance impliquent la distribution de logiciels malveillants Android tels que VINETHORN et PINEFLOWER via des messages texte capables d’enregistrer des appels audio et téléphoniques, d’extraire du contenu multimédia et des SMS et de suivre les géolocalisations. Une charge utile VINETHORN repérée entre avril et octobre 2021 s’est fait passer pour une application VPN appelée SaferVPN.
« L’utilisation de logiciels malveillants Android pour cibler des personnes présentant un intérêt pour le gouvernement iranien fournit à APT42 une méthode productive pour obtenir des informations sensibles sur des cibles, notamment des mouvements, des contacts et des informations personnelles », ont noté les chercheurs.
On dit également que le groupe utilise de temps en temps une série de logiciels malveillants Windows légers – une porte dérobée PowerShell nommée TAMECAT, un compte-gouttes de macros basé sur VBA appelé TABBYCAT et une macro de shell inversée connue sous le nom de VBREVSHELL – pour augmenter leur collecte d’informations d’identification et leur espionnage. Activités.
Les liens d’APT42 vers APT35 proviennent de liens vers un cluster de menaces non catégorisé suivi comme UNC2448, que Microsoft (DEV-0270) et Secureworks (Cobalt Mirage) ont divulgué comme un sous-groupe Phosphorus menant des attaques de rançongiciels à des fins financières à l’aide de BitLocker.
L’analyse de Mandiant donne encore plus de crédit aux conclusions de Microsoft selon lesquelles DEV-0270/UNC2448 est exploité par une société écran qui utilise deux alias publics, à savoir Secnerd et Lifeweb, tous deux connectés à Najee Technology Hooshmand.
Cela dit, on soupçonne que les deux collectifs antagonistes, malgré leur affiliation au CGRI, proviennent de missions disparates basées sur des différences dans les schémas de ciblage et les tactiques employées.
Un point clé de distinction est que si APT35 est orienté vers des opérations à long terme et à forte intensité de ressources ciblant différents secteurs verticaux de l’industrie aux États-Unis et au Moyen-Orient, les activités d’APT42 se concentrent sur des individus et des entités pour « la politique intérieure, la politique étrangère et la stabilité du régime ». fins. »
« Le groupe a montré sa capacité à modifier rapidement son orientation opérationnelle alors que les priorités de l’Iran changent au fil du temps avec l’évolution des conditions nationales et géopolitiques », ont déclaré les chercheurs.