Обнаружена новая группировка, которую спонсирует армия Ирана

ИБ-компания Mandiant обнаружила новую группировку APT42, которая, по мнению экспертов, является кибершпионским подразделением Корпуса стражей исламской революции (КСИР).

APT42 отдает предпочтение целевому фишингу против корпоративных и личных учетных записей электронной почты. С 2015 года группа использовала фишинговые кампании для сбора учетных данных и установки шпионских программ на Android-смартфоны, которые они затем используют для отслеживания местонахождения, мониторинга связи и другого наблюдения за действиями тех, кто считается угрозой для иранского правительства.

В своих атаках хакеры выдавали себя за журналистов или исследователей и привлекали жертв в течение нескольких дней или недель, прежде чем отправить вредоносную ссылку.

Согласно исследованию Mandiant, жертвами APT42 являются как минимум 14 стран, в том числе США, Австралия, страны Европы и Ближнего Востока, и среди них правительственные чиновники, бывшие иранские политики, члены иранской диаспоры и оппозиционных групп, журналисты и ученые.

С 2015 года группа провела более 30 целевых кампаний, связанных со сбором учетных данных, слежкой и развертыванием вредоносных программ.

Например, в 2020 году, в разгар пандемии COVID-19, группа пыталась украсть учетные данные личной электронной почты у высокопоставленных лиц в фармацевтической промышленности США, выдав себя за вакцинолога из Оксфордского университета.

В своем исследовании Mandiant отмечает, что деятельность APT42 соответствует группировке ITG18 (также известна как TA453 , Phosphorus, Charming Kitten).

Кроме того, перед президентскими выборами в США в 2020 году Microsoft обнаружила кибератаки , которые она приписала Phosphorus, нацеленные на личные аккаунты электронной почты людей, связанных с кампанией бывшего президента Дональда Трампа. Поэтому вице-президент Mandiant по разведке Джон Халтквист призвал следить за APT42. По его словам, группировка проводит разведку, связанную с выборами в США, в интересах иранского правительства.

В заключении Халтквист сказал, что в кибербезопасности мало таких угроз, которые можно сравнить с КСИР, поскольку Корпус читает сообщения и электронные письма, записывает звонки и отслеживает местонахождение устройства.