APT42
APT42 è un gruppo di spionaggio informatico sponsorizzato dallo Stato iraniano attivo almeno dal 2015, noto per aver preso di mira individui e organizzazioni in tutto il mondo tramite spearphishing, sorveglianza mobile e furto di credenziali.
L'origine di APT42
APT42 è un gruppo di spionaggio informatico sponsorizzato dallo Stato iraniano, attivo almeno dal 2015. Il suo compito principale è quello di condurre operazioni di raccolta di informazioni per conto del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell'Iran, concentrandosi sulla sorveglianza di individui ed entità di interesse strategico. Sebbene le operazioni di APT42 siano state associate da alcuni fornitori a "Magic Hound", i due gruppi sono considerati distinti sulla base di differenze comportamentali e software. L'APT42 è noto per l'uso di campagne di spearphishing su misura, di malware per la sorveglianza mobile e di infrastrutture per la raccolta di credenziali a sostegno di attività di spionaggio a lungo termine.
Paesi presi di mira da APT42
Le operazioni dell'APT42 si estendono al di là del Medio Oriente, con obiettivi notevoli negli Stati Uniti, nel Regno Unito, in Israele, Iraq, Arabia Saudita, Germania, Australia, Albania e nello stesso Iran. Le attività del gruppo riflettono un focus strategico sia sugli avversari stranieri che sulle popolazioni dissidenti interne.
Industrie prese di mira da APT42
L'APT42 prende di mira un ampio spettro di settori, tra cui istituzioni accademiche, petrolio e gas, appaltatori della difesa, organizzazioni militari nazionali, ONG, think tank, servizi finanziari, agenzie governative, settore tecnologico, media, aerospaziale, sanitario, energetico e farmaceutico. Il loro obiettivo è generalmente allineato alle priorità geopolitiche e di intelligence interna dell'Iran.
Le vittime di APT42
I profili delle vittime includono spesso funzionari governativi, giornalisti, attivisti per i diritti umani, accademici e dissidenti politici. APT42 spesso crea esche personalizzate spacciandosi per giornalisti o istituzioni legittime nelle e-mail phishing . Le operazioni hanno incluso il furto di credenziali da ambienti Microsoft 365 e la sorveglianza di dispositivi mobili utilizzando malware Android come PINEFLOWER.
Il metodo di attacco di APT42
APT42 inizia gli attacchi con e-mail di spearphishing contenenti link dannosi o distribuisce malware Android come PINEFLOWER a obiettivi mobili. Queste e-mail spesso impersonano contatti noti o istituzioni affidabili.
APT42 utilizza script PowerShell (ad esempio, POWERPOST) per aumentare i privilegi e accedere a informazioni sensibili sugli account.
Utilizzano modifiche al registro di sistema, tecniche anti-forensi come la cancellazione dei registri e della cronologia del browser e payload mascherati (come VINETHORN come software VPN) per evitare il rilevamento.
APT42 ruba le credenziali attraverso l'estrazione del browser web, il keylogging e l'intercettazione dei token di autenticazione a più fattori (MFA) utilizzando pagine di login false.
Il gruppo utilizza la strumentazione di gestione di Windows (WMI) e strumenti malware (GHAMBAR, POWERPOST) per analizzare il software di sicurezza, le configurazioni di sistema e le impostazioni di rete.
Sebbene le specifiche dei movimenti laterali siano meno dettagliate, l'acquisizione di infrastrutture e l'impostazione del comando e del controllo implicano sforzi per spostarsi all'interno delle reti una volta ottenuto l'accesso.
APT42 raccoglie schermate di sistema, cookie di sessione del browser, documenti di Microsoft 365 e keylog, concentrandosi su materiale politicamente o strategicamente sensibile.
Il gruppo esegue script e malware utilizzando PowerShell, VBScript, attività pianificate e link web dannosi.
L'esfiltrazione dei dati avviene su canali HTTPS crittografati utilizzando strumenti come NICECURL. Utilizzano anche la codifica Base64 e l'infrastruttura anonima per nascondere il traffico.
Le operazioni dell'APT42 si concentrano sulla raccolta di informazioni a lungo termine piuttosto che sull'interruzione o il sabotaggio. Il loro impatto risiede nella sorveglianza, nel furto di dati e nella raccolta di informazioni geopolitiche.
APT42 inizia gli attacchi con e-mail di spearphishing contenenti link dannosi o distribuisce malware Android come PINEFLOWER a obiettivi mobili. Queste e-mail spesso impersonano contatti noti o istituzioni affidabili.
APT42 utilizza script PowerShell (ad esempio, POWERPOST) per aumentare i privilegi e accedere a informazioni sensibili sugli account.
Utilizzano modifiche al registro di sistema, tecniche anti-forensi come la cancellazione dei registri e della cronologia del browser e payload mascherati (come VINETHORN come software VPN) per evitare il rilevamento.
APT42 ruba le credenziali attraverso l'estrazione del browser web, il keylogging e l'intercettazione dei token di autenticazione a più fattori (MFA) utilizzando pagine di login false.
Il gruppo utilizza la strumentazione di gestione di Windows (WMI) e strumenti malware (GHAMBAR, POWERPOST) per analizzare il software di sicurezza, le configurazioni di sistema e le impostazioni di rete.
Sebbene le specifiche dei movimenti laterali siano meno dettagliate, l'acquisizione di infrastrutture e l'impostazione del comando e del controllo implicano sforzi per spostarsi all'interno delle reti una volta ottenuto l'accesso.
APT42 raccoglie schermate di sistema, cookie di sessione del browser, documenti di Microsoft 365 e keylog, concentrandosi su materiale politicamente o strategicamente sensibile.
Il gruppo esegue script e malware utilizzando PowerShell, VBScript, attività pianificate e link web dannosi.
L'esfiltrazione dei dati avviene su canali HTTPS crittografati utilizzando strumenti come NICECURL. Utilizzano anche la codifica Base64 e l'infrastruttura anonima per nascondere il traffico.
Le operazioni dell'APT42 si concentrano sulla raccolta di informazioni a lungo termine piuttosto che sull'interruzione o il sabotaggio. Il loro impatto risiede nella sorveglianza, nel furto di dati e nella raccolta di informazioni geopolitiche.
TTP utilizzati dall'APT42
Come rilevare APT42 con Vectra AI
DOMANDE FREQUENTI
Chi sponsorizza APT42?
Si ritiene che l'APT42 sia sponsorizzato dal governo iraniano, in particolare dal Corpo delle guardie rivoluzionarie islamiche (IRGC).
Cosa rende APT42 diverso da Magic Hound?
Sebbene vi siano sovrapposizioni di malware e comportamenti, essi vengono monitorati separatamente in base alle differenze di obiettivi, strumenti e tecniche.
In che modo l'APT42 ottiene l'accesso iniziale?
Si affidano a e-mail di spearphishing contenenti link dannosi o malware Android per compromettere i dispositivi e rubare le credenziali.
Quale malware utilizza APT42?
Le malware più comuni includono PINEFLOWER (Android), POWERPOST, GHAMBAR e VINETHORN (camuffate da applicazioni VPN).
Come fanno a mantenere la persistenza sui sistemi infetti?
APT42 utilizza modifiche al registro, attività pianificate e tecniche di avvio automatico malware .
Utilizzano credenziali rubate per le piattaforme cloud ?
Sì, l'APT42 mira specificamente agli ambienti Microsoft 365, raccogliendo documenti e token di sessione.
Come fanno a non farsi scoprire?
Utilizzano traffico HTTPS crittografato (NICECURL), mascherano i loro strumenti e cancellano le tracce forensi come la cronologia del browser.
Quali tecniche di rilevamento sono efficaci contro APT42?
Il monitoraggio del comportamento (ad esempio, l'esecuzione di script tramite PowerShell/VBScript), l'ispezione del traffico DNS e TLS e l'analisi dei token MFA possono aiutare a rilevare l'attività di APT42.
L'APT42 è distruttivo?
No, l'APT42 si concentra principalmente su spionaggio, raccolta di informazioni e sorveglianza. In genere non distribuisce ransomware o wipers.
Come possono le organizzazioni difendersi dall'APT42?
Implementate un MFA phishing, monitorate le attività anomale di Microsoft 365, limitate l'uso di PowerShell e implementate soluzioni NDR in grado di rilevare attacchi basati su script e attività di keylogging.