Mestres do disfarce: Hackers iranianos se passam por jornalistas
8 de Maio de 2024

O grupo iraniano de hacking patrocinado pelo estado, conhecido como APT42, está utilizando esquemas avançados de engenharia social para infiltrar-se em redes alvo e ambientes de nuvem.

As vítimas do ataque incluem ONGs ocidentais e do Oriente Médio, organizações de mídia, academia, serviços jurídicos e ativistas, disse a subsidiária do Google Cloud, Mandiant, em um relatório publicado na semana passada.

"Observou-se o APT42 se passando por jornalistas e organizadores de eventos para construir confiança com suas vítimas por meio de correspondência contínua, e para entregar convites para conferências ou documentos legítimos", disse a empresa.

"Esses esquemas de engenharia social permitiram que o APT42 colhesse credenciais e as usasse para obter acesso inicial a ambientes de nuvem.

Posteriormente, o ator de ameaça exfiltrou secretamente dados de interesse estratégico para o Irã, enquanto dependia de recursos integrados e ferramentas de código aberto para evitar detecção.

O APT42 (também conhecido como Damselfly e UNC788), documentado pela primeira vez pela empresa em setembro de 2022, é um grupo de espionagem cibernética patrocinado pelo estado iraniano encarregado de conduzir operações de coleta de informações e vigilância contra indivíduos e organizações de interesse estratégico para o governo iraniano.

Avalia-se que seja um subconjunto de outro grupo de ameaças infame rastreado como APT35, que também é conhecido por vários nomes CALANQUE, CharmingCypress, Charming Kitten, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster, TA453 e Yellow Garuda.

Ambos os grupos são afiliados ao Corpo da Guarda Revolucionária Islâmica (IRGC) do Irã, mas operam com um conjunto diferente de objetivos.

Enquanto o Charming Kitten foca mais em operações de longo prazo, intensivas em malware, visando organizações e empresas nos EUA e no Oriente Médio para roubar dados.

O APT42, em contraste, visa indivíduos e organizações específicos que o regime tem sob sua mira para fins de política interna, política externa e estabilidade do regime.

No início de janeiro, a Microsoft atribuiu ao ator Charming Kitten campanhas de phishing visando indivíduos de alto perfil que trabalham em assuntos do Oriente Médio em universidades e organizações de pesquisa na Bélgica, França, Gaza, Israel, Reino Unido e EUA desde novembro de 2023.

Os ataques montados pelo grupo são conhecidos por envolver extensas operações de coleta de credenciais para reunir credenciais da Microsoft, Yahoo e Google por meio de e-mails de spear-phishing contendo links maliciosos para documentos isca que redirecionam os destinatários para uma página de login falsa.

Nessas campanhas, o adversário foi observado enviando e-mails de domínios que typosquatting as entidades originais e se passando por veículos de notícias; serviços legítimos como Dropbox, Google Meet, LinkedIn e YouTube; e mailer daemons e ferramentas de encurtamento de URL.

Os ataques de captura de credenciais são complementados por atividades de exfiltração de dados visando a infraestrutura de nuvem pública das vítimas para obter documentos de interesse para o Irã, mas apenas após ganhar a confiança deles – algo que o Charming Kitten é muito habilidoso.

Famílias de malware conhecidas associadas ao APT42 "Essas operações começaram com esquemas avançados de engenharia social para obter o acesso inicial às redes das vítimas, muitas vezes envolvendo correspondência contínua de construção de confiança com a vítima", disse a Mandiant.

Só então as credenciais desejadas são adquiridas e a autenticação multifator (MFA) é burlada, servindo um site clonado para capturar o token MFA (que falhou) e depois enviando notificações push de MFA para a vítima (que teve sucesso).

Em um esforço para encobrir seus rastros e se misturar, verificou-se que o adversário depende de ferramentas publicamente disponíveis, exfiltrando arquivos para uma conta do OneDrive se passando pela organização da vítima, e empregando VPN e infraestrutura anonimizada para interagir com o ambiente comprometido.

Também usado pelo APT42 são dois backdoors personalizados que atuam como um ponto de salto para implantar malware adicional ou para executar comandos manualmente no dispositivo.

NICECURL (também conhecido como BASICSTAR) - Um backdoor escrito em VBScript que pode baixar módulos adicionais a serem executados, incluindo mineração de dados e execução de comandos arbitrários TAMECAT - Um trampolim do PowerShell que pode executar conteúdo arbitrário do PowerShell ou C# Vale ressaltar que o NICECURL foi previamente dissecado pela empresa de inteligência de ameaças e resposta a incidentes Volexity em fevereiro de 2024 em conexão com uma série de ataques cibernéticos visando especialistas em políticas do Oriente Médio entre setembro e outubro de 2023.

"O APT42 permaneceu relativamente focado na coleta de inteligência e na mira similar de vítimas, apesar da guerra Israel-Hamas que levou outros atores de conexão com o Irã a se adaptarem realizando atividades destrutivas, disruptivas e de vazamento de informações", concluiu a Mandiant.

Os métodos implantados pelo APT42 deixam uma pegada mínima e podem tornar a detecção e mitigação de suas atividades mais desafiadoras para os defensores da rede.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...