Af Eskil Sørensen, 13/05/24
Den iranske statssponserede cyberspionagegruppe APT42 har brugt to nye bagdøre i sine de seneste angreb. Det skriver Security Week baseret på en rapport fra Googles Mandiant, der fortæller at angrebene er rettet mod ngo'er, regeringskontorer og mellemstatslige organisationer.
Gruppen har flere mål for sine aktiviteter og er bl.a. blevet observeret i angreb mod universiteter , aktivister, medier og ngo'er i vestlige og mellemøstlige lande. De typiske angrebsmønstre er tilnærmelse vha. social engineering, hvor afsenderne udgiver sig for at være journalister eller arrangører af events.
I de seneste angreb er der set implementeret to brugerdefinerede bagdøre ved navn Nicecurl- og Tamecat. Det er sket i angreb mod organisationer, som er involveret i spørgsmål relateret til Iran og Mellemøsten.
Nicecurl er skrevet i VBScript og kan droppe yderligere moduler på de inficerede maskiner, herunder et til dataindsamling og et andet til vilkårlig afvikling af kommandoer. Tamecat, et PowerShell-værktøj, der er i stand til at udføre PowerShell- og C#-indhold, blev distribueret via dokumenter med ondsindede makroer.
Mandiant skriver i sin rapport, at APT42 er forblevet relativt fokuseret på efterretningsindsamling. Dette på trods af Israel-Hamas-krigen, hvor andre aktører fra Iran i højere grad har ændret fokus til afvikling af ”forstyrrende, destruktive og hack-and-leak-aktiviteter”.
Tre klynger
Mandiant har ifølge Security Week identificeret tre klynger, der er forskellige i deres angrebsvinkel og bruge social engineering.
I den ene klynge er APT42 forklædt som medieorganisationer og ngo'er. Klyngen har været aktiv siden 2021 og henvender sig til journalister, geopolitiske organisationer og forskere, hvor henvendelserne indeholder links til falske nyhedsartikler, der omdirigerer til en Google-login-phishing-side.
Den anden klynge har været aktiv siden 2019. Den optræder som en legitim tjeneste, retter sig mod forskere, journalister, ngo'er og aktivister. Henvendelserne indeholder invitationer til begivenheder eller legitime dokumenter, som er høstet på cloud-infrastruktur.
Den sidste klynge har været i gang siden 2022 og udgiver sig for at være NGO'ere, URL-forkortelsestjenesten Bitly og 'Mailer Daemon'. Denne klynge har rettet sig mod enheder knyttet til universiteter, forsvars- og udenrigsspørgsmål i USA og Israel med links til invitationer og legitime dokumenter.
Udover dette er APT42 i 2022 og 2023 blevet set slette dokumenter fra Microsoft 365-miljøer for juridiske tjenester og ngo'er i USA og Storbritannien, efter at have de har opnået login-oplysninger og omgået multi-faktor autentificering (MFA) gennem push-meddelelser.
Links:
https://www.securityweek.com/iranian-cyberspies-target-governments-ngos-...