Ang Iranian State-Sponsored APT42 Hacker Group na Nagta-target ng Pamahalaan, NGO at Intergovernmental Organizations na Mag-harvest ng mga Kredensyal
Sa larangan ng cybersecurity, ang pagbabantay ay pinakamahalaga. Ang mga kamakailang paghahayag mula sa Mandiant ng Google Cloud ay nagbigay-liwanag sa mga kasuklam-suklam na aktibidad ng APT42, isang cyber espionage group na inisponsor ng estado na pinaniniwalaang nagpapatakbo sa ngalan ng Islamic Revolutionary Guard Corps (IRGC) sa Iran. Sa kasaysayang itinayo noong hindi bababa sa 2015, ang APT42 ay lumitaw bilang isang makabuluhang banta, na nagta-target ng malawak na hanay ng mga entity kabilang ang mga NGO, institusyon ng gobyerno, at intergovernmental na organisasyon.
Nagpapatakbo sa ilalim ng iba't ibang mga alyas tulad ng Calanque at UNC788, ang modus operandi ng APT42 ay kasing sopistikado. Gamit ang mga taktika ng social engineering, nagpapanggap ang grupo bilang mga mamamahayag at tagapag-ayos ng kaganapan upang makalusot sa mga network ng mga target nito. Sa pamamagitan ng paggamit sa mga mapanlinlang na estratehiyang ito, nakukuha ng APT42 ang tiwala ng mga hindi pinaghihinalaang biktima, na nagbibigay-daan sa kanila na makakuha ng mahahalagang kredensyal para sa hindi awtorisadong pag-access.
Isa sa mga tanda ng diskarte ng APT42 ay ang paggamit nito ng maraming backdoors upang mapadali ang mga malisyosong aktibidad nito. Itinatampok ng ulat ng Mandiant ang pag-deploy ng dalawang bagong backdoors sa mga kamakailang pag-atake. Ang mga clandestine na tool na ito ay nagbibigay-daan sa APT42 na makalusot sa mga cloud environment, mag-exfiltrate ng sensitibong data, at makaiwas sa pagtuklas sa pamamagitan ng paggamit ng mga open-source na tool at built-in na feature.
Ang pagsusuri ng Mandiant ay higit pang nagpapakita ng masalimuot na imprastraktura na ginagamit ng APT42 sa mga operasyon nito. Ang grupo ay nag-oorkestrate ng malawak na mga kampanya sa pag-aani ng kredensyal, na ikinakategorya ang mga target nito sa tatlong magkakaibang kumpol. Mula sa pagbabalatkayo bilang mga organisasyon ng media hanggang sa pagpapanggap bilang mga lehitimong serbisyo, gumagamit ang APT42 ng iba't ibang taktika upang akitin ang mga biktima nito na ibunyag ang kanilang mga kredensyal sa pag-log in.
Bukod dito, ang mga aktibidad ng APT42 ay lumalampas sa tradisyonal na cyber espionage. Nagpakita ang grupo ng pagpayag na iakma ang mga taktika nito , na pinatunayan ng pag-deploy nito ng mga custom na backdoor gaya ng Nicecurl at Tamecat. Ang mga tool na ito, na nakasulat sa VBScript at PowerShell ayon sa pagkakabanggit, ay nagbibigay-daan sa APT42 na magsagawa ng mga arbitrary na command at kumuha ng sensitibong impormasyon mula sa mga nakompromisong system.
Sa kabila ng mga geopolitical na tensyon at mga salungatan sa rehiyon, ang APT42 ay nananatiling matatag sa pagtugis nito sa koleksyon ng katalinuhan. Binibigyang-diin ng mga natuklasan ng Mandiant ang katatagan at pagtitiyaga ng grupo, habang patuloy itong tina-target ang mga entity na nauugnay sa mga sensitibong geopolitical na isyu sa US, Israel, at higit pa. Higit pa rito, ang overlap sa pagitan ng mga aktibidad ng APT42 at ng iba pang mga Iranian hacking group, tulad ng Charming Kitten, ay nagha-highlight sa coordinated at multifaceted na katangian ng cyber operations ng Iran.
Sa harap ng gayong mga banta, ang mga proactive na hakbang sa cybersecurity ay kinakailangan. Ang mga organisasyon ay dapat manatiling mapagbantay, na gumagamit ng matatag na mga protocol sa seguridad at manatiling nakasubaybay sa mga pinakabagong pag-unlad sa cyber defense. Sa pamamagitan ng pagpapahusay ng pakikipagtulungan at pagbabahagi ng impormasyon, mas mahusay na matutugunan ng pandaigdigang komunidad ang umuusbong na tanawin ng pagbabanta na dulot ng mga grupo tulad ng APT42.
Sa huli, ang mga paghahayag na ibinigay ng Mandiant ay nagsisilbing isang nakababahalang paalala ng patuloy at malaganap na kalikasan ng mga banta sa cyber. Habang patuloy na umuunlad ang teknolohiya, dapat din ang ating mga depensa. Sa pamamagitan lamang ng sama-samang pagkilos at hindi natitinag na kasipagan maaari tayong umasa na mapagaan ang mga panganib na dulot ng mga cyber espionage group na inisponsor ng estado tulad ng APT42.