APT42

APT42 è un gruppo di spionaggio informatico sponsorizzato dallo Stato iraniano attivo almeno dal 2015, noto per aver preso di mira individui e organizzazioni in tutto il mondo tramite spearphishing, sorveglianza mobile e furto di credenziali.

La vostra organizzazione è al sicuro dagli attacchi di APT42?

L'origine di APT42

APT42 è un gruppo di spionaggio informatico sponsorizzato dallo Stato iraniano, attivo almeno dal 2015. Il suo compito principale è quello di condurre operazioni di raccolta di informazioni per conto del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell'Iran, concentrandosi sulla sorveglianza di individui ed entità di interesse strategico. Sebbene le operazioni di APT42 siano state associate da alcuni fornitori a "Magic Hound", i due gruppi sono considerati distinti sulla base di differenze comportamentali e software. L'APT42 è noto per l'uso di campagne di spearphishing su misura, di malware per la sorveglianza mobile e di infrastrutture per la raccolta di credenziali a sostegno di attività di spionaggio a lungo termine.

Paesi presi di mira da APT42

Le operazioni dell'APT42 si estendono al di là del Medio Oriente, con obiettivi notevoli negli Stati Uniti, nel Regno Unito, in Israele, Iraq, Arabia Saudita, Germania, Australia, Albania e nello stesso Iran. Le attività del gruppo riflettono un focus strategico sia sugli avversari stranieri che sulle popolazioni dissidenti interne.

Industrie prese di mira da APT42

L'APT42 prende di mira un ampio spettro di settori, tra cui istituzioni accademiche, petrolio e gas, appaltatori della difesa, organizzazioni militari nazionali, ONG, think tank, servizi finanziari, agenzie governative, settore tecnologico, media, aerospaziale, sanitario, energetico e farmaceutico. Il loro obiettivo è generalmente allineato alle priorità geopolitiche e di intelligence interna dell'Iran.

Le vittime di APT42

I profili delle vittime includono spesso funzionari governativi, giornalisti, attivisti per i diritti umani, accademici e dissidenti politici. APT42 spesso crea esche personalizzate spacciandosi per giornalisti o istituzioni legittime nelle e-mail phishing . Le operazioni hanno incluso il furto di credenziali da ambienti Microsoft 365 e la sorveglianza di dispositivi mobili utilizzando malware Android come PINEFLOWER.

Metodo di attacco

Il metodo di attacco di APT42

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

APT42 inizia gli attacchi con e-mail di spearphishing contenenti link dannosi o distribuisce malware Android come PINEFLOWER a obiettivi mobili. Queste e-mail spesso impersonano contatti noti o istituzioni affidabili.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

APT42 utilizza script PowerShell (ad esempio, POWERPOST) per aumentare i privilegi e accedere a informazioni sensibili sugli account.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Utilizzano modifiche al registro di sistema, tecniche anti-forensi come la cancellazione dei registri e della cronologia del browser e payload mascherati (come VINETHORN come software VPN) per evitare il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

APT42 ruba le credenziali attraverso l'estrazione del browser web, il keylogging e l'intercettazione dei token di autenticazione a più fattori (MFA) utilizzando pagine di login false.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Il gruppo utilizza la strumentazione di gestione di Windows (WMI) e strumenti malware (GHAMBAR, POWERPOST) per analizzare il software di sicurezza, le configurazioni di sistema e le impostazioni di rete.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Sebbene le specifiche dei movimenti laterali siano meno dettagliate, l'acquisizione di infrastrutture e l'impostazione del comando e del controllo implicano sforzi per spostarsi all'interno delle reti una volta ottenuto l'accesso.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

APT42 raccoglie schermate di sistema, cookie di sessione del browser, documenti di Microsoft 365 e keylog, concentrandosi su materiale politicamente o strategicamente sensibile.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il gruppo esegue script e malware utilizzando PowerShell, VBScript, attività pianificate e link web dannosi.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

L'esfiltrazione dei dati avviene su canali HTTPS crittografati utilizzando strumenti come NICECURL. Utilizzano anche la codifica Base64 e l'infrastruttura anonima per nascondere il traffico.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Le operazioni dell'APT42 si concentrano sulla raccolta di informazioni a lungo termine piuttosto che sull'interruzione o il sabotaggio. Il loro impatto risiede nella sorveglianza, nel furto di dati e nella raccolta di informazioni geopolitiche.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

APT42 inizia gli attacchi con e-mail di spearphishing contenenti link dannosi o distribuisce malware Android come PINEFLOWER a obiettivi mobili. Queste e-mail spesso impersonano contatti noti o istituzioni affidabili.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

APT42 utilizza script PowerShell (ad esempio, POWERPOST) per aumentare i privilegi e accedere a informazioni sensibili sugli account.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Utilizzano modifiche al registro di sistema, tecniche anti-forensi come la cancellazione dei registri e della cronologia del browser e payload mascherati (come VINETHORN come software VPN) per evitare il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

APT42 ruba le credenziali attraverso l'estrazione del browser web, il keylogging e l'intercettazione dei token di autenticazione a più fattori (MFA) utilizzando pagine di login false.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Il gruppo utilizza la strumentazione di gestione di Windows (WMI) e strumenti malware (GHAMBAR, POWERPOST) per analizzare il software di sicurezza, le configurazioni di sistema e le impostazioni di rete.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Sebbene le specifiche dei movimenti laterali siano meno dettagliate, l'acquisizione di infrastrutture e l'impostazione del comando e del controllo implicano sforzi per spostarsi all'interno delle reti una volta ottenuto l'accesso.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

APT42 raccoglie schermate di sistema, cookie di sessione del browser, documenti di Microsoft 365 e keylog, concentrandosi su materiale politicamente o strategicamente sensibile.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Il gruppo esegue script e malware utilizzando PowerShell, VBScript, attività pianificate e link web dannosi.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

L'esfiltrazione dei dati avviene su canali HTTPS crittografati utilizzando strumenti come NICECURL. Utilizzano anche la codifica Base64 e l'infrastruttura anonima per nascondere il traffico.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Le operazioni dell'APT42 si concentrano sulla raccolta di informazioni a lungo termine piuttosto che sull'interruzione o il sabotaggio. Il loro impatto risiede nella sorveglianza, nel furto di dati e nella raccolta di informazioni geopolitiche.

MITRE ATT&CK Mappatura

TTP utilizzati dall'APT42

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1656
Impersonation
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1539
Steal Web Session Cookie
T1555
Credentials from Password Stores
T1111
Multi-Factor Authentication Interception
T1056
Input Capture
TA0007: Discovery
T1518
Software Discovery
T1087
Account Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1530
Data from Cloud Storage
T1113
Screen Capture
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1132
Data Encoding
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.

DOMANDE FREQUENTI

Chi sponsorizza APT42?

Cosa rende APT42 diverso da Magic Hound?

In che modo l'APT42 ottiene l'accesso iniziale?

Quale malware utilizza APT42?

Come fanno a mantenere la persistenza sui sistemi infetti?

Utilizzano credenziali rubate per le piattaforme cloud ?

Come fanno a non farsi scoprire?

Quali tecniche di rilevamento sono efficaci contro APT42?

L'APT42 è distruttivo?

Come possono le organizzazioni difendersi dall'APT42?