Атаки проводятся против активистов, диссидентов и организаций, представляющих интерес для Ирана.
https://www.securitylab.ru/upload/ib...nmjh4ocegf.png
В своем отчете по наблюдению за APT42 исследователи из Mandiant отметили, что группировка действует от имени Корпуса стражей исламской революции (IRGC), а ее тактики, техники и процедуры очень напоминают APT35 – другую иранскую банду хакеров, известную как Charming Kitten и Phosphorus.
Microsoft отслеживает хакеров с 2013 года, но эксперты считают, что кибершпионы начали свою деятельность с 2011 года.
APT42 специализируется на целевых фишинговых атаках и атаках с использованием методов социальной инженерии. Деятельность хакеров можно разделить на три категории:<ul><li>Кампании по сбору данных;</li>
</ul><ul><li>Шпионаж;</li>
</ul><ul><li>Внедрение вредоносного ПО.</li>
</ul>Mandiant удалось зафиксировать более 30 подтвержденных атак APT42, однако специалисты считают, что это число в разы больше, так как группировка крайне активна.
Эксперты отмечают, что деятельность хакеров меняется вместе с изменением интересов иранского правительства. APT42 быстро реагирует на геополитические изменения и корректирует свои атаки “на лету”.
Например, в мае 2017 года группировка с помощью фишинговых писем атаковала руководство иранских оппозиционеров, действующих из Европы и Северной Америки. Письма содержали ссылки на фальшивые страницы сервиса Google Книги, которые перенаправляли жертв на поддельные страницы авторизации, с помощью которых злоумышленники похищали учетные данные и коды двухфакторной аутентификации жертв.
APT42 также проводила шпионские кампании, в ходе которых заражала Android устройства вредоносами VINETHORN и PINEFLOWER. А в сентябре 2021 года злоумышленники распространяли PowerShell-бэкдор TAMECAT.
В заключении своего отчета исследователи отметили гибкость группировки и заявили, что атаки APT42 будут продолжаться и изменяться в зависимости от интересов иранского правительства.