APT42: иранская угроза для предвыборных штабов Трампа и Байдена

Google присоединился к Microsoft в публикации информации о киберактивности со стороны Ирана после недавней волны атак , которые привели к утечке данных из предвыборного штаба Дональда Трампа. Группа анализа угроз Google (TAG) подтвердила, что за инцидентом стоит Иран, а именно его группа APT42, которая является частью Корпуса стражей исламской революции (КСИР).

TAG также сообщила, что до этого инцидента было предотвращено множество других атак. Активность иранских хакеров заметно возросла в мае. В настоящее время продолжаются попытки атак на команды президента Джо Байдена, вице-президента и кандидата от Демократической партии Камалы Харрис, а также Дональда Трампа.

В работе группы APT42 используется метод фишинга, который специалисты Google обозначили как «Кластер C». Применение данного метода началось в 2022 году и включает попытки маскировки под неправительственные организации и сервисы типа «Mailer Daemon». В ходе атак активно используется сервис сокращения ссылок Bitly, что позволяет злоумышленникам распространять фишинговые ссылки среди целевых лиц, таких как военные и политические деятели, а также академики. Получатели подобных писем часто сталкиваются с фишинговыми страницами, замаскированными под регистрационные формы для конференций или документы в облачных сервисах, что позволяет киберпреступникам выманивать учетные данные.

По данным Google, в мае и июне APT42 нацелилась на личные почтовые аккаунты примерно десятка лиц, связанных с Джо Байденом и Дональдом Трампом, включая текущих и бывших сотрудников правительства США, а также участников предвыборных кампаний.

Социальная инженерия также активно используется APT42 для реализации атак. Одним из методов является создание фальшивых видеозвонков через поддельные сайты, контролируемые злоумышленниками. Жертвам по электронной почте отправляют ссылки для участия в видеозвонках, где им предлагают ввести учетные данные, которые затем крадутся. В большинстве случаев атакующие подделывают сервис Google Meet, однако были зафиксированы и другие фейковые сайты Google, использовавшиеся в более чем 50 различных кампаниях. Эксперты TAG отметили, что особую осторожность следует проявлять при получении ссылок на Dropbox, OneDrive и Skype, которые также используются в таких атаках.

В некоторых случаях жертвам могут быть отправлены PDF-документы, которые на первый взгляд кажутся безвредными. Цель таких документов — завоевать доверие и перевести общение на другие платформы, такие как Signal, Telegram или WhatsApp, где злоумышленники пытаются убедить жертву скачать инструменты для кражи учетных данных.

Наиболее продвинутый набор инструментов, используемый APT42, известен как GCollection, и находится в постоянной доработке с января 2023 года. Этот комплект обеспечивает «бесшовный» процесс, включая такие функции, как многофакторная аутентификация, PIN-коды устройств и одноразовые коды восстановления для почтовых платформ Google, Hotmail и Yahoo.

Разведывательные методы, используемые APT42, включают использование открытых источников и социальных сетей для поиска личных почтовых адресов, которые могут быть менее защищены по сравнению с корпоративными учетными записями. После получения доступа к аккаунту, злоумышленники добавляют дополнительные механизмы для повторного входа, включая изменение резервных адресов электронной почты и использование паролей, предназначенных для приложений, не поддерживающих многофакторную аутентификацию.

Аналогичные методы социальной инженерии и фишинга APT42 применяет в атаках на израильских официальных лиц в военной, оборонной и академической сферах, а также в неправительственных организациях. Атаки часто сопровождаются поддельными петициями и мнимыми журналистами, которые пытаются получить комментарии от высокопоставленных лиц, чтобы затем скомпрометировать их учетные записи.