Иранские кибершпионы

📌Тактика ‎маскировки: APT42‏ ‎выдает ‎себя ‎за ‎известные ‎новостные‏ ‎агентства ‎и‏ ‎аналитические‏ ‎центры, ‎такие ‎как‏ ‎The ‎Washington‏ ‎Post, ‎The ‎Economist ‎и‏ ‎The‏ ‎Jerusalem ‎Post,‏ ‎чтобы ‎воздействовать‏ ‎на ‎журналистов, ‎исследователей ‎и ‎активистов‏ ‎в‏ ‎западных ‎странах‏ ‎и ‎на‏ ‎Ближнем ‎Востоке. ‎Эта ‎кампания, ‎которая‏ ‎началась‏ ‎в‏ ‎2021 ‎году‏ ‎и ‎продолжается‏ ‎до ‎сих‏ ‎пор,‏ ‎включает ‎в‏ ‎себя ‎создание ‎поддельных ‎ссылок ‎на‏ ‎веб-сайты ‎для‏ ‎получения‏ ‎учетных ‎данных ‎для‏ ‎входа ‎в‏ ‎систему ‎от ‎жертв.

📌Минимальное ‎воздействие: Методы,‏ ‎применяемые‏ ‎APT42, ‎разработаны‏ ‎таким ‎образом,‏ ‎чтобы ‎оставлять ‎минимальное ‎воздействие, ‎что‏ ‎усложняет‏ ‎сетевым ‎защитникам‏ ‎задачу ‎обнаружения‏ ‎и ‎пресечения ‎их ‎деятельности. ‎Такая‏ ‎скрытность‏ ‎достигается‏ ‎за ‎счет‏ ‎использования ‎методов‏ ‎тайпосквоттинга ‎и‏ ‎социальной‏ ‎инженерии.

📌Тайпсквоттинг ‎и‏ ‎социальная ‎инженерия: APT42 ‎часто ‎использует ‎тайпсквоттинг,‏ ‎приобретая ‎веб-домены,‏ ‎которые‏ ‎выглядят ‎как ‎настоящие,‏ ‎но ‎содержат‏ ‎небольшие ‎ошибки ‎или ‎изменения,‏ ‎для‏ ‎создания ‎вредоносных‏ ‎ссылок. ‎Эти‏ ‎ссылки ‎перенаправляют ‎получателей ‎на ‎поддельные‏ ‎страницы‏ ‎входа ‎в‏ ‎Google. ‎В‏ ‎качестве ‎примера ‎приводится ‎«washington ‎post[.]press»,‏ ‎где‏ ‎буква‏ ‎«q» ‎заменяет‏ ‎букву ‎«g»‏ ‎в ‎слове‏ ‎«Вашингтон».

📌Преследование‏ ‎конкретных ‎лиц:‏ ‎В ‎2023 ‎году ‎APT42, ‎как‏ ‎сообщается, ‎выдал‏ ‎себя‏ ‎за ‎старшего ‎научного‏ ‎сотрудника ‎британского‏ ‎аналитического ‎центра ‎Royal ‎United‏ ‎Services‏ ‎Institute ‎(RUSI),‏ ‎пытаясь ‎распространить‏ ‎вредоносное ‎ПО ‎среди ‎экспертов ‎по‏ ‎ядерной‏ ‎безопасности ‎в‏ ‎базирующемся ‎в‏ ‎США ‎аналитическом ‎центре, ‎специализирующемся ‎на‏ ‎международных‏ ‎делах.

📌Атаки‏ ‎в ‎облачной‏ ‎среде: ‎В‏ ‎период ‎с‏ ‎2022‏ ‎по ‎2023‏ ‎год ‎было ‎замечено, ‎что ‎APT42‏ ‎осуществлял ‎утечку‏ ‎документов‏ ‎и ‎конфиденциальной ‎информации‏ ‎из ‎общедоступной‏ ‎облачной ‎инфраструктуры ‎жертв, ‎такой‏ ‎как‏ ‎среда ‎Microsoft‏ ‎365. ‎Эти‏ ‎атаки ‎были ‎нацелены ‎на ‎юридические‏ ‎компании‏ ‎и ‎некоммерческие‏ ‎организации ‎в‏ ‎США ‎и ‎Великобритании.

📌Пересечение ‎с ‎другими‏ ‎операциями: деятельность‏ ‎APT42‏ ‎совпадает ‎с‏ ‎другими ‎операциями,‏ ‎связанными ‎с‏ ‎Ираном,‏ ‎под ‎названиями‏ ‎TA453, ‎Charming ‎Kitten ‎и ‎Mint‏ ‎Sandstorm. ‎Это‏ ‎указывает‏ ‎на ‎более ‎широкую‏ ‎схему ‎кибершпионажа,‏ ‎связанную ‎с ‎государственными ‎интересами‏ ‎Ирана