07/05/24
.jpg?width=289&height=174&name=download%20(64).jpg)
Кибершпионская группа APT42 проникает в корпоративные сети и облачные среды на Западе и на Ближнем Востоке.
О новой кампании сообщает Mandiant (Google), которая впервые документировала деятельность группы в сентябре 2022 года. По данным специалистов, APT42 активна с 2015 года и провела как минимум 30 операций в 14 странах.
Аналитики Google, отслеживающие операции группы, указывают, что для заражения целей используются вредоносные электронные письма с двумя настраиваемыми бэкдорами — Nicecurl и Tamecat. Инструменты позволяют выполнять команды и похищать данные.
APT42 выдает себя за различные СМИ, включая The Washington Post (США), The Economist (Великобритания), The Jerusalem Post (IL), Khaleej Times (ОАЭ), Azadliq (Азербайджан), при этом в атаках часто используются домены с опечаткой (Typosquatting), например, «washinqtonpost[.]press».
APT42 маскируется под журналистов, представителей НПО или организаторов мероприятий, отправляя сообщения с доменов, похожих на легитимные, согласно Securitylab. В ходе коммуникации злоумышленники стремятся завоевать доверие жертвы, после чего отправляют ссылку на документ, который перенаправляет на поддельные страницы входа, имитирующие известные сервисы, такие как Google и Microsoft. Фишинговые сайты не только крадут учетные данные жертвы, но и токены многофакторной аутентификации.
Для укрепления своих позиций в зараженных сетях и обхода обнаружения, APT42 использует функции облачных инструментов, очищает историю Google Chrome и использует email-адреса, которые, по-видимому, принадлежат организациям жертв, для эксфильтрации файлов в аккаунты OneDrive.
Кроме того, для обеспечения анонимности своих операций APT42 использует узлы ExpressVPN, домены, размещенные на Cloudflare, и временные VPS-серверы. Кроме того, группа использует бэкдоры Nicecurl и Tamecat:
- Nicecurl — бэкдор на основе VBScript, способный выполнять команды, загружать и выполнять дополнительные полезные данные или выполнять интеллектуальный анализ данных на зараженном хосте.
- Tamecat — более сложный бэкдор PowerShell, который может выполнять произвольный код PowerShell или сценарии C#, что дает APT42 большую эксплуатационную гибкость для кражи данных и обширных манипуляций с системой. Tamecat также может динамически обновлять свою конфигурацию для избежания обнаружения
Ранее исследователи из Mandiant отмечали, что группировка APT42 действует от имени Корпуса стражей исламской революции (КСИР), а ее тактики, техники и процедуры (TTPs) очень напоминают APT35 – другую иранскую группу, известную как Charming Kitten и Phosphorus.
