APT42
APT42 è un gruppo di cyber spionaggio sponsorizzato dallo Stato iraniano attivo almeno dal 2015, noto per prendere di mira individui e organizzazioni in tutto il mondo attraverso spearphishing, sorveglianza mobile e furto di credenziali.
L'origine di APT42
APT42 è un gruppo di cyber spionaggio sponsorizzato dallo Stato iraniano attivo almeno dal 2015. Il suo compito principale è quello di condurre operazioni di raccolta di informazioni per conto del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) iraniano, concentrandosi sulla sorveglianza di individui ed entità di interesse strategico. Sebbene alcune aziende abbiano associato le operazioni di APT42 a "Magic Hound", i due gruppi sono considerati distinti sulla base delle differenze comportamentali e software. APT42 è noto per l'uso di campagne di spearphishing personalizzate, malware di sorveglianza mobile e infrastrutture di raccolta delle credenziali a supporto di attività di spionaggio a lungo termine.
Paesi presi di mira da APT42
Le operazioni di APT42 si estendono oltre il Medio Oriente, con obiettivi di rilievo negli Stati Uniti, nel Regno Unito, in Israele, Iraq, Arabia Saudita, Germania, Australia, Albania e nello stesso Iran. Le attività del gruppo riflettono un focus strategico sia sugli avversari stranieri che sulle popolazioni dissidenti interne.
Settori presi di mira da APT42
APT42 prende di mira un ampio spettro di settori, tra cui istituzioni accademiche, petrolio e gas, appaltatori della difesa, organizzazioni militari nazionali, ONG, think tank, servizi finanziari, agenzie governative, settore tecnologico, media, aerospaziale, sanitario, energetico e farmaceutico. Il loro obiettivo è generalmente in linea con le priorità geopolitiche e di intelligence interna dell'Iran.
Le vittime dell'APT42
I profili delle vittime includono spesso funzionari governativi, giornalisti, attivisti per i diritti umani, accademici e dissidenti politici. APT42 spesso crea esche personalizzate che impersonano giornalisti o istituzioni legittime nelle phishing . Le operazioni hanno incluso il furto di credenziali da ambienti Microsoft 365 e la sorveglianza di dispositivi mobili utilizzando malware Android malware PINEFLOWER.
Il metodo di attacco di APT42
APT42 inizia gli attacchi con e-mail di spearphishing contenenti link dannosi o distribuisce malware Android malware PINEFLOWER a obiettivi mobili. Queste e-mail spesso si spacciano per contatti noti o istituzioni rispettabili.
APT42 utilizza script PowerShell (ad esempio POWERPOST) per aumentare i privilegi e accedere a informazioni sensibili relative agli account.
Utilizzano modifiche al registro, tecniche anti-forensi come la cancellazione dei log e della cronologia del browser e payload mascherati (come VINETHORN come software VPN) per evitare il rilevamento.
APT42 ruba le credenziali tramite l'estrazione dal browser web, il keylogging e l'intercettazione dei token di autenticazione a più fattori (MFA) utilizzando pagine di accesso false.
Il gruppo utilizza Windows Management Instrumentation (WMI) e malware (GHAMBAR, POWERPOST) per analizzare il software di sicurezza, le configurazioni di sistema e le impostazioni di rete.
Sebbene i dettagli relativi ai movimenti laterali siano meno specifici, l'acquisizione di infrastrutture e la configurazione dei sistemi di comando e controllo implicano sforzi per agire all'interno delle reti una volta ottenuto l'accesso.
APT42 raccoglie screenshot di sistema, cookie delle sessioni del browser, documenti Microsoft 365 e keylog, concentrandosi su materiale sensibile dal punto di vista politico o strategico.
Il gruppo esegue script e malware PowerShell, VBScript, attività pianificate e link web dannosi.
L'esfiltrazione dei dati viene eseguita su canali HTTPS crittografati utilizzando strumenti come NICECURL. Utilizzano anche la codifica Base64 e un'infrastruttura anonima per nascondere il traffico.
Le operazioni dell'APT42 sono incentrate sulla raccolta di informazioni a lungo termine piuttosto che sull'interruzione o il sabotaggio. Il loro impatto risiede nella sorveglianza, nel furto di dati e nella raccolta di informazioni geopolitiche.
APT42 inizia gli attacchi con e-mail di spearphishing contenenti link dannosi o distribuisce malware Android malware PINEFLOWER a obiettivi mobili. Queste e-mail spesso si spacciano per contatti noti o istituzioni rispettabili.
APT42 utilizza script PowerShell (ad esempio POWERPOST) per aumentare i privilegi e accedere a informazioni sensibili relative agli account.
Utilizzano modifiche al registro, tecniche anti-forensi come la cancellazione dei log e della cronologia del browser e payload mascherati (come VINETHORN come software VPN) per evitare il rilevamento.
APT42 ruba le credenziali tramite l'estrazione dal browser web, il keylogging e l'intercettazione dei token di autenticazione a più fattori (MFA) utilizzando pagine di accesso false.
Il gruppo utilizza Windows Management Instrumentation (WMI) e malware (GHAMBAR, POWERPOST) per analizzare il software di sicurezza, le configurazioni di sistema e le impostazioni di rete.
Sebbene i dettagli relativi ai movimenti laterali siano meno specifici, l'acquisizione di infrastrutture e la configurazione dei sistemi di comando e controllo implicano sforzi per agire all'interno delle reti una volta ottenuto l'accesso.
APT42 raccoglie screenshot di sistema, cookie delle sessioni del browser, documenti Microsoft 365 e keylog, concentrandosi su materiale sensibile dal punto di vista politico o strategico.
Il gruppo esegue script e malware PowerShell, VBScript, attività pianificate e link web dannosi.
L'esfiltrazione dei dati viene eseguita su canali HTTPS crittografati utilizzando strumenti come NICECURL. Utilizzano anche la codifica Base64 e un'infrastruttura anonima per nascondere il traffico.
Le operazioni dell'APT42 sono incentrate sulla raccolta di informazioni a lungo termine piuttosto che sull'interruzione o il sabotaggio. Il loro impatto risiede nella sorveglianza, nel furto di dati e nella raccolta di informazioni geopolitiche.
TTP utilizzati da APT42
Come rilevare APT42 con Vectra AI
Domande frequenti
Chi sponsorizza APT42?
Si ritiene che APT42 sia sponsorizzato dal governo iraniano, in particolare dal Corpo delle Guardie Rivoluzionarie Islamiche (IRGC).
Cosa distingue APT42 da Magic Hound?
Sebbene vi siano sovrapposizioni tra malware comportamenti, essi vengono monitorati separatamente in base alle differenze in termini di obiettivi, strumenti e tecniche.
In che modo APT42 ottiene l'accesso iniziale?
Si avvalgono di e-mail di spearphishing contenenti link dannosi o malware Android malware compromettere i dispositivi e rubare le credenziali.
Quale malware APT42?
malware più comuni malware PINEFLOWER (Android), POWERPOST, GHAMBAR e VINETHORN (camuffati da app VPN).
Come mantengono la persistenza sui sistemi infetti?
APT42 utilizza modifiche al registro, attività pianificate e tecniche malware .
Utilizzano credenziali rubate per cloud ?
Sì, APT42 prende di mira specificatamente gli ambienti Microsoft 365, raccogliendo documenti e token di sessione.
Come fanno a evitare di essere scoperti?
Utilizzano traffico HTTPS crittografato (NICECURL), mascherano i propri strumenti e cancellano le tracce forensi come la cronologia del browser.
Quali tecniche di rilevamento sono efficaci contro APT42?
Il monitoraggio comportamentale (ad esempio, l'esecuzione di script tramite PowerShell/VBScript), l'ispezione del traffico DNS e TLS e l'analisi dei token MFA possono aiutare a rilevare l'attività di APT42.
APT42 è distruttivo?
No, APT42 si concentra principalmente su spionaggio, raccolta di informazioni e sorveglianza. In genere non utilizza ransomware o wiper.
Come possono le organizzazioni difendersi dall'APT42?
Implementare un'autenticazione a più fattori (MFA) phishing, monitorare le attività anomale di Microsoft 365, limitare l'uso di PowerShell e implementare soluzioni NDR in grado di rilevare attacchi basati su script e attività di keylogging.