Trovato APT42, un gruppo di hacker iraniano nuovi metodi per attacchi di spionaggio nascosti negli affari e non solo. Secondo un recente rapporto di Mandiant, APT42 è attivo dal 2015 e ha condotto almeno 30 operazioni in 14 paesi, principalmente contro organizzazioni non governative, media, istituzioni educative, attivisti e servizi legali.
Hacker utilizzano l’ingegneria sociale per penetrare nelle reti aziendali e negli ambienti cloud in Occidente e nel Medio Oriente. Per infettare gli obiettivi vengono utilizzate e-mail dannose con due backdoor personalizzate, Nicecurl e Tamecat. Questi ti consentono di eseguire comandi e rubare dati.
APT42 si spaccia per giornalisti, rappresentanti di organizzazioni non governative o organizzatori di eventi, inviando messaggi con domini simili a quelli legittimi. Una volta ottenuta la fiducia della vittima, inviano un collegamento a un documento che reindirizza a siti di accesso falsi, che imitano servizi noti come Google e Microsoft. Questi siti non solo rubano le credenziali della vittima, ma anche i token di autenticazione a due fattori.
Per rafforzare la propria posizione nelle reti infette ed eludere il rilevamento, APT42 utilizza funzionalità di strumenti cloud, cancella la cronologia di Google Chrome e invia file tramite account OneDrive utilizzando indirizzi e-mail apparentemente appartenenti alle vittime.
APT42 utilizza anche ExpressVPN, domini Cloudflare e server VPS temporanei per mantenere l’anonimato. Nicecurl E Tamecat sono le loro backdoor preferite. Nicecurl è una backdoor basata su VBScript che può eseguire comandi, caricare ed eseguire dati aggiuntivi o eseguire analisi dei dati sull’host infetto. Tamecat è una backdoor PowerShell più sofisticata in grado di eseguire codice PowerShell o script C#, offrendo ad APT42 maggiore flessibilità per i furti.
