Атаки проводятся против активистов, диссидентов и организаций, представляющих интерес для Ирана.
В своем отчете по наблюдению за APT42 исследователи из Mandiant отметили, что группировка действует от имени Корпуса стражей исламской революции (IRGC), а ее тактики, техники и процедуры очень напоминают APT35 – другую иранскую банду хакеров, известную как Charming Kitten и Phosphorus.
Microsoft отслеживает хакеров с 2013 года, но эксперты считают, что кибершпионы начали свою деятельность с 2011 года.
APT42 специализируется на целевых фишинговых атаках и атаках с использованием методов социальной инженерии. Деятельность хакеров можно разделить на три категории:
- Кампании по сбору данных;
- Внедрение вредоносного ПО.
Mandiant удалось зафиксировать более 30 подтвержденных атак APT42, однако специалисты считают, что это число в разы больше, так как группировка крайне активна.
Эксперты отмечают, что деятельность хакеров меняется вместе с изменением интересов иранского правительства. APT42 быстро реагирует на геополитические изменения и корректирует свои атаки “на лету”.
Например, в мае 2017 года группировка с помощью фишинговых писем атаковала руководство иранских оппозиционеров, действующих из Европы и Северной Америки. Письма содержали ссылки на фальшивые страницы сервиса Google Книги, которые перенаправляли жертв на поддельные страницы авторизации, с помощью которых злоумышленники похищали учетные данные и коды двухфакторной аутентификации жертв.
APT42 также проводила шпионские кампании, в ходе которых заражала Android устройства вредоносами VINETHORN и PINEFLOWER. А в сентябре 2021 года злоумышленники распространяли PowerShell-бэкдор TAMECAT.
В заключении своего отчета исследователи отметили гибкость группировки и заявили, что атаки APT42 будут продолжаться и изменяться в зависимости от интересов иранского правительства.
04-26-2025, 08:27 AM
Linear Mode
