یک گروه جاسوسی سایبری تحت حمایت ایران که با نام APT42 شناخته میشود، از حملات مهندسی اجتماعی برای نفوذ به شبکههای شرکتی و محیطهای ابری اهداف غربی و خاورمیانه استفاده کرده است.
APT42 برای اولین بار توسط Mandiant در سپتامبر 2022 معرفی گردید. این گروه از سال 2015 فعال بوده و حداقل 30 عملیات را در 14 کشور به انجام رسانده است. APT42 غالبا سازمانهای غیردولتی، رسانهها، مؤسسات آموزشی و فعالان حقوقی را مورد هدف میدهد.
مروری بر حمله اخیر APT42
مهاجمان در حمله اخیر از ایمیلهای مخرب (حاوی بدافزار) استفاده کردهاند تا اهداف خود را توسط دو بکدور سفارشی به نامهای ” Nicecurl” و ” Tamecat” آلوده کنند. این بکدورها دارای قابلیت اجرای دستور و استخراج داده میباشند.
حملات APT42، به مهندسی اجتماعی و فیشینگ هدفمند متکی است. این حمله با ایمیلهایی از سوی شخصیتهای مجازی که خود را به عنوان روزنامهنگار و نمایندگان سازمانهای غیردولتی (NGO) معرفی میکنند، آغاز میشود.
ایمیلهای ارسال شده از دامنههایی که دارای URLهای مشابه با آدرسهای سازمانهای قانونی هستند (typosquat)، استفاده میکنند.
نمونهای از سازمانهای رسانهای که توسط APT42 جعل هویت شدهاند شامل واشنگتن پست[1] (ایالات متحده)، اکونومیست[2] (بریتانیا)، جروزالم پست[3] یا اورشلیم پست (اسرائیل)، خلیج تایمز[4] (امارات متحده عربی)، آزادلیق[5] (آذربایجان) میباشند.
این حملات اغلب از دامنههای typosquat شده مانند ” washinqtonpost[.]press” استفاده میکنند. مهاجمان پس از آن که اعتماد قربانی را جلب کردند، بسته به موضوع مورد نظر، لینکی به یک مستند مرتبط با کنفرانس یا مقاله خبری ارسال میکنند.
قربانیان با کلیک بر روی لینک، به صفحه لاگین جعلی هدایت میشوند که از سرویسهای معروفی مانند گوگل، مایکروسافت و یا حتی پلتفرمهای تخصصی مرتبط با حوزه کاری قربانیان استفاده میکنند.
این سایتهای فیشینگ نه تنها گواهی اعتبار حساب قربانیان، بلکه توکنهای احراز هویت چند عاملی ([6]MFA) آنها را نیز جمعآوری خواهند کرد.
هکرها پس از سرقت تمام داده های مورد نیاز برای ربودن حساب قربانی، به شبکه شرکت یا محیط ابری نفوذ کرده و اطلاعات حساسی مانند ایمیل و اسناد را جمع آوری میکنند.
APT42 برای فرار از شناسایی و دور زدن مکانیزمهای امنیتی، اقدامات خود را به ویژگیهای داخلی ابزارهای ابری که به آنها دسترسی دارد، محدود کرده است. این گروه جاسوسی سایبری همچنین تاریخچه Google Chrome را پس از بررسی اسناد پاک کرده و از آدرسهای ایمیلی استفاده میکند که به نظر میرسد متعلق به سازمان قربانی هستند تا فایلها را به اکانتهای OneDrive انتقال دهد.
APT42 در تمام تعاملات خود با محیط قربانی از nodeهای (گرههای) ExpressVPN، دامنههای میزبانی شده در Cloudflare و سرورهای VPS یک روزه استفاده کرده است.
بکدورهای سفارشی
APT42 در این حملات، از دو بکدور سفارشی به نامهای Nicecurl و Tamecat استفاده کرده است که هر کدام برای عملکردهای خاصی طراحی شدهاند.
Nicecurl یک بکدور مبتنی بر VBScript است که قادر به اجرای دستورات، دانلود و اجرای پیلودهای بیشتر و داده کاوی بر روی میزبان آلوده میباشد.
Tamecat نیز یک بکدور PowerShell پیچیده است که میتواند کدهای دلخواه PS یا اسکریپتهای سی شارپ را اجرا کند. این بکدور، انعطافپذیری عملیاتی زیادی را به منظور سرقت داده و دستکاری گسترده سیستم به APT42 میدهد.
Tamecat، ارتباطات C2 (سرور فرماندهی و کنترل) خود را با استفاده از base64 مبهم کرده و پیکربندی خود را به صورت پویا به روزرسانی میکند. این بکدو، قادر است سیستم قربانی را پیش از اجرا ارزیابی نماید تا از تشخیص توسط آنتی ویروس و سایر مکانیزمهای امنیتی فعال جلوگیری به عمل آورد.
هر دو بکدور از طریق ایمیلهای فیشینگ حاوی اسناد مخرب مستقر میشوند که اغلب برای اجرا به مجوزهای ماکرو نیاز دارند.
فهرست کامل شاخصهای نفوذ (IoC[7]) حملات اخیر APT42 و قوانین YARA برای شناسایی بکدورهای NICECURL و TAMECAT در انتهای گزارش گوگل قابل دسترس میباشد.
[1] Washington Post
[2] Economist
[3] Jerusalem Post
[4] Khaleej Times
[5] Azadliq
[6] multi-factor authentication
[7] Indicators of Compromise
