Иранская группировка APT42 стоит более чем за 30 шпионскими атаками с 2015 года

В своем отчете по наблюдению за APT42 исследователи из Mandiant отметили, что группировка действует от имени Корпуса стражей исламской революции (IRGC), а ее тактики, техники и процедуры очень напоминают APT35 – другую иранскую банду хакеров, известную как Charming Kitten и Phosphorus.

Microsoft отслеживает хакеров с 2013 года, но эксперты считают, что кибершпионы начали свою деятельность с 2011 года.

APT42 специализируется на целевых фишинговых атаках и атаках с использованием методов социальной инженерии. Деятельность хакеров можно разделить на три категории:

• Кампании по сбору данных;

• Шпионаж;

• Внедрение вредоносного ПО.

Mandiant удалось зафиксировать более 30 подтвержденных атак APT42, однако специалисты считают, что это число в разы больше, так как группировка крайне активна.

Эксперты отмечают, что деятельность хакеров меняется вместе с изменением интересов иранского правительства. APT42 быстро реагирует на геополитические изменения и корректирует свои атаки “на лету”.

Например, в мае 2017 года группировка с помощью фишинговых писем атаковала руководство иранских оппозиционеров, действующих из Европы и Северной Америки. Письма содержали ссылки на фальшивые страницы сервиса Google Книги, которые перенаправляли жертв на поддельные страницы авторизации, с помощью которых злоумышленники похищали учетные данные и коды двухфакторной аутентификации жертв.

APT42 также проводила шпионские кампании, в ходе которых заражала Android устройства вредоносами VINETHORN и PINEFLOWER. А в сентябре 2021 года злоумышленники распространяли PowerShell-бэкдор TAMECAT.

В заключении своего отчета исследователи отметили гибкость группировки и заявили, что атаки APT42 будут продолжаться и изменяться в зависимости от интересов иранского правительства.