伊朗新的黑客组织APT42部署定制的Android间谍攻击软件-VPS资讯_海外云服务器资讯_海外服务器资讯

一个名为 APT42 的伊朗国家资助的新黑客组织被发现使用定制的 Android 恶意软件来监视感兴趣的目标。

这家网络安全公司收集了足够的证据来确定 APT42 是一个国家支持的威胁行为者，他对伊朗政府特别感兴趣的个人和组织进行网络间谍活动。

APT42 的第一个活动迹象可以追溯到七年前，围绕着针对政府官员、政策制定者、记者、全球学者和伊朗持不同政见者的长期鱼叉式网络钓鱼活动展开。

黑客的目标是窃取帐户凭据。然而，在许多情况下，他们还部署了一个定制的 Android 恶意软件菌株，能够跟踪受害者、访问设备的存储和提取通信数据。

活动和目标
根据发现新黑客组织活动的Mandiant的说法，自 2015 年以来，APT42 已在 14 个国家/地区进行了至少 30 次操作。但是，这可能只是由于操作安全错误导致他们被跟踪而浮出水面的一小部分。

APT42多年来的目标（Mandiant）

该小组多次切换目标以匹配不断变化的情报收集兴趣。例如，在 2020 年，APT42 使用冒充牛津大学疫苗专家的网络钓鱼电子邮件来攻击外国药品。

向制药目标发送鱼叉式网络钓鱼电子邮件 (Mandiant)
2021 年，APT42 使用来自美国媒体组织的受感染电子邮件地址以虚假采访请求为目标，与他们接触 37 天，然后使用凭证收集页面进行攻击。

APT42 (Mandiant)发送的假采访诱饵
最近，在 2022 年 2 月，黑客冒充一家英国通讯社，针对比利时和阿拉伯联合酋长国的政治学教授进行攻击。

在大多数情况下，黑客旨在通过将受害者引导至看似合法登录门户的网络钓鱼页面来获取凭据。

他们要么通过发送缩短的链接或 PDF 附件来做到这一点，其中包含通向凭证收集页面的按钮，这些页面也能够拦截 MFA 代码。

个性化的 Google 帐户网络钓鱼页面（Mandiant）
安卓恶意软件

APT42 活动中使用的移动恶意软件株可帮助威胁参与者密切跟踪其最感兴趣的目标，每天窃取电话、短信收件箱和房间录音。

Mandiant 说，Android 间谍软件主要通过 SMS 文本传播给伊朗目标，其中包含可以帮助绕过政府施加的限制的消息或 VPN 应用程序的链接。

隐藏自定义间谍软件的应用程序 (Mandiant)
“使用 Android 恶意软件针对伊朗政府感兴趣的个人为 APT42 提供了一种获取目标敏感信息的有效方法，包括移动、联系人和个人信息，”Mandiant 在技术报告中评论道。

“该组织已证明有能力记录电话、激活麦克风和记录音频、泄露图像并根据命令拍照、阅读 SMS 消息以及实时跟踪受害者的 GPS 位置，这对个人受害者构成了现实世界的风险。这场运动。”

但是，Mandiant 还报告说发现了用于下载阿拉伯语 IM 应用程序的登录页面，因此威胁参与者可能也在伊朗境外部署了 Android 恶意软件。

APT42 在 Windows 系统上使用一组丰富的轻量级自定义恶意软件来建立立足点并窃取凭据，使他们能够提升权限并在网络上执行侦察。

对于横向移动，黑客向受感染用户的同事发送网络钓鱼电子邮件。同时，通过添加计划任务和新的 Windows 注册表项来保护新入侵系统中的存在。

针对 PC 时 APT42 使用的工具 (Mandiant)
勒索软件的链接
Mandiant 强调了 Microsoft于 2021 年 11 月报告的 APT42 的 TTP 与使用 BitLocker 的勒索软件活动之间的联系。

“在一个观察到的活动中，PHOSPHORUS 以 Fortinet FortiOS SSL VPN 和全球未修补的本地 Exchange 服务器为目标，目的是在易受攻击的网络上部署勒索软件，”微软报告称。

虽然微软在其报告中将威胁集群命名为“磷”，但 Mandiant 现在表示有足够的技术和 OSINT 证据可以将攻击与 APT42 以及 APT35 联系起来。

最后，Mandiant 以适度的信心评估 APT42 和 APT35 都是美国指定为恐怖组织的 IRGC（伊斯兰革命卫队）的操纵者。