Предположительно, группа повлияла на выборы США в 2020 году и действует в интересах Ирана.
ИБ-компания Mandiant обнаружила новую группировку APT42, которая, по мнению экспертов, является кибершпионским подразделением Корпуса стражей исламской революции (КСИР).
APT42 отдает предпочтение целевому фишингу против корпоративных и личных учетных записей электронной почты. С 2015 года группа использовала фишинговые кампании для сбора учетных данных и установки шпионских программ на Android-смартфоны, которые они затем используют для отслеживания местонахождения, мониторинга связи и другого наблюдения за действиями тех, кто считается угрозой для иранского правительства.
В своих атаках хакеры выдавали себя за журналистов или исследователей и привлекали жертв в течение нескольких дней или недель, прежде чем отправить вредоносную ссылку.
Согласно исследованию Mandiant, жертвами APT42 являются как минимум 14 стран, в том числе США, Австралия, страны Европы и Ближнего Востока, и среди них правительственные чиновники, бывшие иранские политики, члены иранской диаспоры и оппозиционных групп, журналисты и ученые.
С 2015 года группа провела более 30 целевых кампаний, связанных со сбором учетных данных, слежкой и развертыванием вредоносных программ.
Например, в 2020 году, в разгар пандемии COVID-19, группа пыталась украсть учетные данные личной электронной почты у высокопоставленных лиц в фармацевтической промышленности США, выдав себя за вакцинолога из Оксфордского университета.
В своем исследовании Mandiant отмечает, что деятельность APT42 соответствует группировке ITG18 (также известна как TA453 , Phosphorus, Charming Kitten).
Кроме того, перед президентскими выборами в США в 2020 году Microsoft обнаружила кибератаки , которые она приписала Phosphorus, нацеленные на личные аккаунты электронной почты людей, связанных с кампанией бывшего президента Дональда Трампа. Поэтому вице-президент Mandiant по разведке Джон Халтквист призвал следить за APT42. По его словам, группировка проводит разведку, связанную с выборами в США, в интересах иранского правительства.
В заключении Халтквист сказал, что в кибербезопасности мало таких угроз, которые можно сравнить с КСИР, поскольку Корпус читает сообщения и электронные письма, записывает звонки и отслеживает местонахождение устройства.
Храним важное в надежном месте