O grupo de hackers apoiado pelo Estado iraniano chamado APT42 está utilizando esquemas avançados de engenharia social para infiltrar redes de alvos e ambientes na nuvem.
Os alvos do ataque incluem ONGs ocidentais e do Oriente Médio, organizações de mídia, academias, serviços jurídicos e ativistas, disse a subsidiária da Google Cloud, Mandiant, em um relatório publicado na semana passada.
“A APT42 foi observada se passando por jornalistas e organizadores de eventos para construir confiança com suas vítimas por meio de correspondência contínua e enviar convites para conferências ou documentos legítimos”, disse a empresa.
“Esses esquemas de engenharia social permitiram que a APT42 coletasse credenciais e as usasse para obter acesso inicial a ambientes na nuvem. Posteriormente, o ator ameaçador exfiltrou dados de interesse estratégico para o Irã, enquanto dependia de recursos integrados e ferramentas de código aberto para evitar a detecção.”
A APT42 (também conhecida como Damselfly e UNC788), documentada pela primeira vez pela empresa em setembro de 2022, é um grupo de espionagem cibernética patrocinado pelo Estado iraniano encarregado de realizar operações de coleta de informações e vigilância contra indivíduos e organizações de interesse estratégico para o governo iraniano.
É avaliado como um subconjunto de outro grupo de ameaças infame rastreado como APT35, que também é conhecido por vários nomes, como CALANQUE, CharmingCypress, Charming Kitten, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster, TA453 e Yellow Garuda.
Ambos os grupos são afiliados ao Corpo de Guardiões da Revolução Islâmica do Irã (IRGC), mas operam com um conjunto diferente de objetivos.
Enquanto o Charming Kitten foca mais em operações de malware intensivas a longo prazo visando organizações e empresas nos EUA e Oriente Médio para roubar dados, o APT42, ao contrário, visa indivíduos e organizações específicas que o regime tem em vista para fins de política doméstica, política externa e estabilidade do regime.
Mais cedo neste janeiro, a Microsoft atribuiu o ator Charming Kitten a campanhas de phishing direcionadas a pessoas de destaque que trabalham em assuntos do Oriente Médio em universidades e instituições de pesquisa na Bélgica, França, Gaza, Israel, Reino Unido e EUA desde novembro de 2023.
Ambos os grupos estão associados a extensas operações de coleta de credenciais para reunir credenciais da Microsoft, Yahoo e Google por meio de e-mails de spear-phishing contendo links maliciosos para atrair documentos que redirecionam os destinatários para uma página de login falsa.
Nessas campanhas, o adversário foi observado enviando e-mails de domínios typosquatting das entidades originais e se passando por veículos de notícias; serviços legítimos como Dropbox, Google Meet, LinkedIn e YouTube; e daemons de email e ferramentas de encurtamento de URL.
Os ataques de grupo são complementados por atividades de exfiltração de dados visando a infraestrutura de nuvem pública das vítimas para obter documentos de interesse para o Irã, mas somente após conquistar sua confiança – algo em que o Charming Kitten é especializado.
“Essas operações começaram com esquemas avançados de engenharia social para obter acesso inicial às redes das vítimas, frequentemente envolvendo correspondência de criação de confiança contínua com a vítima”, disse a Mandiant.
“Só então as credenciais desejadas são adquiridas e a autenticação multifator (MFA) é burlada, servindo um site clonado para capturar o token MFA (que falhou) e posteriormente enviando notificações por push de MFA para a vítima (que tiveram sucesso).”
Em um esforço para encobrir seus rastros e se misturar, o adversário vem confiando em ferramentas de acesso público, extraindo arquivos para uma conta OneDrive que se passa pela organização da vítima e usando VPN e infraestrutura anonimizada para interagir com o ambiente comprometido.
Também utilizados pela APT42 estão dois backdoors personalizados que atuam como ponto de salto para implantar malware adicional ou executar manualmente comandos no dispositivo –
– NICECURL (também conhecido como BASICSTAR) – Um backdoor escrito em VBScript que pode baixar módulos adicionais a serem executados, incluindo mineração de dados e execução arbitrária de comandos
– TAMECAT – Um ponto de apoio PowerShell que pode executar conteúdo PowerShell ou C #
Vale ressaltar que NICECURL foi anteriormente analisado pela empresa de inteligência de ameaças e resposta a incidentes Volexity em fevereiro de 2024 em conexão com uma série de ciberataques direcionados a especialistas em políticas do Oriente Médio entre setembro e outubro de 2023.
“A APT42 tem se mantido relativamente focada na coleta de inteligência e no direcionamento de uma vitimologia semelhante, apesar da guerra Israel-Hamas que levou outros atores ligados ao Irã a se adaptarem, conduzindo atividades disruptivas, destrutivas e de hack-and-leak”, concluiu a Mandiant.
“Os métodos implementados pela APT42 deixam uma pegada mínima e podem tornar a detecção e mitigação de suas atividades mais desafiadoras para os defensores de rede.”
