APT42
APT42 è un gruppo di spionaggio informatico sostenuto dallo Stato iraniano, attivo almeno dal 2015, noto per prendere di mira individui e organizzazioni in tutto il mondo attraverso tecniche di spearphishing, sorveglianza dei dispositivi mobili e furto di credenziali.
L'origine dell'APT42
APT42 è un gruppo di spionaggio informatico sponsorizzato dallo Stato iraniano, attivo almeno dal 2015. Il suo compito principale è quello di condurre operazioni di raccolta di informazioni per conto del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell’Iran, concentrandosi sulla sorveglianza di individui ed entità di interesse strategico. Sebbene le operazioni di APT42 siano state associate da alcuni fornitori a "Magic Hound", i due gruppi sono considerati distinti sulla base delle differenze comportamentali e software. APT42 è noto per l'uso di campagne di spearphishing su misura, malware di sorveglianza mobile e infrastrutture di raccolta delle credenziali a supporto di attività di spionaggio a lungo termine.
Paesi presi di mira da APT42
Le operazioni dell'APT42 si estendono oltre i confini del Medio Oriente, con attacchi rivolti in particolare contro entità negli Stati Uniti, nel Regno Unito, in Israele, in Iraq, in Arabia Saudita, in Germania, in Australia, in Albania e nello stesso Iran. Le attività del gruppo riflettono un orientamento strategico rivolto sia verso avversari stranieri che verso popolazioni dissidenti interne.
Settori presi di mira da APT42
L'APT42 prende di mira un ampio ventaglio di settori, tra cui istituzioni accademiche, industria petrolifera e del gas, appaltatori della difesa, organizzazioni militari nazionali, ONG, think tank, servizi finanziari, agenzie governative, settore tecnologico, media, industria aerospaziale, sanità, energia e industria farmaceutica. Il loro obiettivo è generalmente in linea con le priorità geopolitiche e di intelligence interna dell'Iran.
Le vittime dell'APT42
Tra le vittime figurano spesso funzionari governativi, giornalisti, attivisti per i diritti umani, accademici e dissidenti politici. APT42 crea spesso esche personalizzate, fingendo di essere giornalisti o istituzioni legittime nelle phishing . Le operazioni hanno incluso il furto di credenziali da ambienti Microsoft 365 e la sorveglianza di dispositivi mobili tramite malware Android malware PINEFLOWER.
Il metodo di attacco di APT42
APT42 avvia gli attacchi tramite e-mail di spearphishing contenenti link dannosi oppure distribuisce malware per Android, malware PINEFLOWER, a dispositivi mobili. Queste e-mail spesso si spacciano per messaggi inviati da contatti noti o da istituzioni affidabili.
APT42 utilizza script PowerShell (ad esempio, POWERPOST) per elevare i privilegi e accedere a informazioni sensibili relative agli account.
Ricorrono a modifiche del Registro di sistema, a tecniche anti-forensi quali la cancellazione dei registri e della cronologia del browser, e a carichi utili camuffati (come VINETHORN, spacciato per un software VPN) per eludere il rilevamento.
APT42 ruba le credenziali tramite l'estrazione dei dati dal browser web, il keylogging e l'intercettazione dei token di autenticazione a più fattori (MFA) utilizzando pagine di accesso contraffatte.
Il gruppo utilizza Windows Management Instrumentation (WMI) e malware (GHAMBAR, POWERPOST) per analizzare i software di sicurezza, le configurazioni di sistema e le impostazioni di rete.
Sebbene i dettagli relativi ai movimenti laterali siano meno precisi, l’acquisizione delle infrastrutture e l’impostazione del sistema di comando e controllo implicano il tentativo di spostarsi all’interno delle reti una volta ottenuto l’accesso.
APT42 raccoglie screenshot del sistema, cookie di sessione del browser, documenti di Microsoft 365 e registrazioni dei tasti digitati, concentrandosi su materiale sensibile dal punto di vista politico o strategico.
Il gruppo esegue script e malware PowerShell, VBScript, attività pianificate e link web dannosi.
L'esfiltrazione dei dati avviene tramite canali HTTPS crittografati utilizzando strumenti come NICECURL. Inoltre, ricorrono alla codifica Base64 e a un'infrastruttura anonimizzata per nascondere il traffico.
Le attività dell'APT42 sono incentrate sulla raccolta di informazioni a lungo termine piuttosto che su azioni di disturbo o sabotaggio. Il loro impatto si manifesta nella sorveglianza, nel furto di dati e nella raccolta di informazioni geopolitiche.
APT42 avvia gli attacchi tramite e-mail di spearphishing contenenti link dannosi oppure distribuisce malware per Android, malware PINEFLOWER, a dispositivi mobili. Queste e-mail spesso si spacciano per messaggi inviati da contatti noti o da istituzioni affidabili.
APT42 utilizza script PowerShell (ad esempio, POWERPOST) per elevare i privilegi e accedere a informazioni sensibili relative agli account.
Ricorrono a modifiche del Registro di sistema, a tecniche anti-forensi quali la cancellazione dei registri e della cronologia del browser, e a carichi utili camuffati (come VINETHORN, spacciato per un software VPN) per eludere il rilevamento.
APT42 ruba le credenziali tramite l'estrazione dei dati dal browser web, il keylogging e l'intercettazione dei token di autenticazione a più fattori (MFA) utilizzando pagine di accesso contraffatte.
Il gruppo utilizza Windows Management Instrumentation (WMI) e malware (GHAMBAR, POWERPOST) per analizzare i software di sicurezza, le configurazioni di sistema e le impostazioni di rete.
Sebbene i dettagli relativi ai movimenti laterali siano meno precisi, l’acquisizione delle infrastrutture e l’impostazione del sistema di comando e controllo implicano il tentativo di spostarsi all’interno delle reti una volta ottenuto l’accesso.
APT42 raccoglie screenshot del sistema, cookie di sessione del browser, documenti di Microsoft 365 e registrazioni dei tasti digitati, concentrandosi su materiale sensibile dal punto di vista politico o strategico.
Il gruppo esegue script e malware PowerShell, VBScript, attività pianificate e link web dannosi.
L'esfiltrazione dei dati avviene tramite canali HTTPS crittografati utilizzando strumenti come NICECURL. Inoltre, ricorrono alla codifica Base64 e a un'infrastruttura anonimizzata per nascondere il traffico.
Le attività dell'APT42 sono incentrate sulla raccolta di informazioni a lungo termine piuttosto che su azioni di disturbo o sabotaggio. Il loro impatto si manifesta nella sorveglianza, nel furto di dati e nella raccolta di informazioni geopolitiche.
TTP utilizzati da APT42
Come individuare APT42 con Vectra AI
Domande frequenti
Chi finanzia APT42?
Si ritiene che l'APT42 sia finanziato dal governo iraniano, in particolare dal Corpo delle Guardie Rivoluzionarie Islamiche (IRGC).
In cosa si differenzia APT42 da Magic Hound?
Sebbene vi siano punti in comune tra malware i loro comportamenti, essi vengono monitorati separatamente in base alle differenze relative agli obiettivi, agli strumenti e alle tecniche utilizzati.
In che modo APT42 ottiene l'accesso iniziale?
Si avvalgono di e-mail di spearphishing contenenti link dannosi o malware per Android malware compromettere i dispositivi e rubare le credenziali.
Quali malware APT42?
malware più diffusi malware PINEFLOWER (Android), POWERPOST, GHAMBAR e VINETHORN (mascherati da app VPN).
In che modo mantengono la persistenza sui sistemi infetti?
APT42 ricorre a modifiche del Registro di sistema, attività pianificate e tecniche malware .
Utilizzano credenziali rubate per accedere cloud ?
Sì, APT42 prende di mira specificamente gli ambienti Microsoft 365, raccogliendo documenti e token di sessione.
Come fanno a non farsi scoprire?
Utilizzano il traffico HTTPS crittografato (NICECURL), nascondono i propri strumenti e cancellano le tracce forensi, come la cronologia del browser.
Quali tecniche di rilevamento sono efficaci contro APT42?
Il monitoraggio del comportamento (ad esempio, l'esecuzione di script tramite PowerShell/VBScript), l'analisi del traffico DNS e TLS e l'analisi dei token MFA possono aiutare a individuare le attività di APT42.
APT42 è un gruppo hacker distruttivo?
No, l'APT42 si concentra principalmente sullo spionaggio, sulla raccolta di informazioni e sulla sorveglianza. In genere non utilizza ransomware o programmi di cancellazione dei dati.
In che modo le organizzazioni possono difendersi da APT42?
Implementare un sistema di autenticazione a più fattori (MFA) phishing, monitorare le attività anomale su Microsoft 365, limitare l'uso di PowerShell e implementare soluzioni NDR in grado di rilevare attacchi basati su script e attività di keylogging.