Спонсорована державою іранська хакерська група APT42, націлена на уряд, неурядові та міжурядові організації, щоб отримати повноваження

У сфері кібербезпеки пильність має першорядне значення. Нещодавні викриття Mandiant від Google Cloud проливають світло на мерзенну діяльність APT42, спонсорованої державою групи кібершпигунства, яка, як вважають, діє від імені Корпусу вартових ісламської революції (КВІР) в Ірані. З історією, що сягає принаймні 2015 року, APT42 став значною загрозою, націленою на широкий спектр організацій, включаючи НУО, державні установи та міжурядові організації.

Працюючи під різними псевдонімами, такими як Calanque та UNC788, modus operandi APT42 настільки ж складний, як і занепокоєння. Використовуючи тактику соціальної інженерії, група видає себе за журналістів та організаторів заходів, щоб проникнути в мережі своїх цілей. Використовуючи ці оманливі стратегії, APT42 завойовує довіру нічого не підозрюючих жертв, дозволяючи їм збирати цінні облікові дані для несанкціонованого доступу.

Однією з характерних рис підходу APT42 є використання кількох бекдорів для сприяння зловмисній діяльності. У звіті Mandiant висвітлюється розгортання двох нових бекдорів під час останніх атак. Ці таємні інструменти дозволяють APT42 проникати в хмарне середовище, вилучати конфіденційні дані та уникати виявлення за допомогою інструментів з відкритим кодом і вбудованих функцій.

Аналіз Mandiant далі розкриває складну інфраструктуру, яку використовує APT42 у своїй діяльності. Група організовує широкі кампанії зі збору облікових даних, класифікуючи свої цілі на три окремі кластери. Від маскування під медіа-організації до видавання за законні служби, APT42 використовує різноманітні тактики, щоб спонукати своїх жертв розкрити свої облікові дані.

Крім того, діяльність APT42 виходить за рамки традиційного кібершпигунства. Група продемонструвала готовність адаптувати свою тактику , про що свідчить розгортання власних бекдорів, таких як Nicecurl і Tamecat. Ці інструменти, написані на VBScript і PowerShell відповідно, дають змогу APT42 виконувати довільні команди та витягувати конфіденційну інформацію з скомпрометованих систем.

Незважаючи на геополітичну напруженість і регіональні конфлікти, APT42 залишається непохитним у своєму прагненні збирати розвіддані. Висновки Mandiant підкреслюють стійкість і наполегливість групи, оскільки вона продовжує націлюватися на організації, пов’язані з делікатними геополітичними проблемами в США, Ізраїлі та за їх межами. Крім того, збіг між діяльністю APT42 та діяльністю інших іранських хакерських груп, таких як Charming Kitten, підкреслює скоординований і багатогранний характер кібероперацій Ірану.

З огляду на такі загрози, проактивні заходи кібербезпеки є обов’язковими. Організації повинні залишатися пильними, використовуючи надійні протоколи безпеки та бути в курсі останніх розробок у сфері кіберзахисту. Покращуючи співпрацю та обмін інформацією, світова спільнота може краще протистояти загрозам, що розвиваються, створеними такими групами, як APT42.

Зрештою, викриття, надані Mandiant, служать протверезним нагадуванням про постійний і всеосяжний характер кіберзагроз. Оскільки технології продовжують розвиватися, так само повинні розвиватися наші засоби захисту. Лише завдяки колективним діям і непохитній старанності ми можемо сподіватися зменшити ризики, створені спонсорованими державою групами кібершпигунства, такими як APT42.