новости
May 29

Иранские кибершпионы

📌Тактика маскировки: APT42 выдает себя за известные новостные агентства и аналитические центры, такие как The Washington Post, The Economist и The Jerusalem Post, чтобы воздействовать на журналистов, исследователей и активистов в западных странах и на Ближнем Востоке. Эта кампания, которая началась в 2021 году и продолжается до сих пор, включает в себя создание поддельных ссылок на веб-сайты для получения учетных данных для входа в систему от жертв.

📌Минимальное воздействие: Методы, применяемые APT42, разработаны таким образом, чтобы оставлять минимальное воздействие, что усложняет сетевым защитникам задачу обнаружения и пресечения их деятельности. Такая скрытность достигается за счет использования методов тайпосквоттинга и социальной инженерии.

📌Тайпсквоттинг и социальная инженерия: APT42 часто использует тайпсквоттинг, приобретая веб-домены, которые выглядят как настоящие, но содержат небольшие ошибки или изменения, для создания вредоносных ссылок. Эти ссылки перенаправляют получателей на поддельные страницы входа в Google. В качестве примера приводится “washington post[.]press”, где буква “q” заменяет букву “g” в слове “Вашингтон”.

📌Преследование конкретных лиц: В 2023 году APT42, как сообщается, выдал себя за старшего научного сотрудника британского аналитического центра Royal United Services Institute (RUSI), пытаясь распространить вредоносное ПО среди экспертов по ядерной безопасности в базирующемся в США аналитическом центре, специализирующемся на международных делах.

📌Атаки в облачной среде: В период с 2022 по 2023 год было замечено, что APT42 осуществлял утечку документов и конфиденциальной информации из общедоступной облачной инфраструктуры жертв, такой как среда Microsoft 365. Эти атаки были нацелены на юридические компании и некоммерческие организации в США и Великобритании.

📌Пересечение с другими операциями: деятельность APT42 совпадает с другими операциями, связанными с Ираном, под названиями TA453, Charming Kitten и Mint Sandstorm. Это указывает на более широкую схему кибершпионажа, связанную с государственными интересами Ирана

Подпишись: Boosty, TG