伊朗黑客组织APT42部署定制的Android间谍软件

2022-09-12|

一个名为APT42有伊朗官方背景的APT组织被发现使用定制的Android恶意软件监视感兴趣的目标。

APT42的第一个活动迹象可以追溯到七年前,针对伊朗政府官员、政策制定者、记者、学者和持不同政见者的长期鱼叉式网络钓鱼活动。

黑客的目标是窃取账户凭据。在许多情况下,还部署了一个定制的 Android 恶意软件,以跟踪受害者、访问设备和提取通信数据。

根据Mandiant的说法,自 2015 年以来,APT42 已在 14 个国家/地区进行了至少 30 次攻击活动。该小组多次切换目标以匹配不断变化的情报收集兴趣。

例如,在 2020 年,APT42 使用冒充牛津大学疫苗专家的网络钓鱼电子邮件尝试入侵外国制药企业。

2021 年,APT42 假冒来自美国媒体组织的虚假采访请求针对特定目标,与对方接触数周,然后使用凭证收集钓鱼页面进行攻击。2022 年 2 月,冒充一家英国通讯社,针对比利时和阿拉伯联合酋长国的政治学者。

在大多数情况下,黑客旨在通过将受害者引导至看似合法登录门户的钓鱼页面来窃取凭据。

通过发送短网址链接或 PDF 附件进行钓鱼攻击,其中包含收集凭证的钓鱼页面,这些页面也能够拦截双因素验证(MFA)代码。

针对Google 账户的网络钓鱼页面 (Mandiant)

APT42 活动中使用的恶意安卓APP可密切跟踪其最感兴趣的目标,窃取电话、短信和录音。

Android 间谍软件主要通过短信文本传播,其中包含可以绕过政府限制的短消息或VPN应用程序的链接。

隐藏自定义间谍软件的应用程序 (Mandiant)

该组织投放的安卓间谍软件可记录电话、激活麦克风和后台录音、后台拍照、窃取图像、获取短信及实时跟踪GPS位置信息。

Mandiant 还报告发现了用于下载阿拉伯语 IM 应用程序的登录页面,因此表明攻击者也可能在伊朗境外部署Android 恶意软件。

APT42 在 Windows 系统上使用一组丰富的轻量级后门来建立立足点并窃取凭据,使他们能够提升权限并在受害者网络上执行侦察。

攻击者向受感染用户的联系人发送网络钓鱼电子邮件。通过添加计划任务和加入Windows 注册表项来实现持久化。

Mandiant 强调Microsoft于 2021 年 11 月报告的 APT42 的 TTP 与使用 BitLocker 的勒索软件活动之间的存在联系。

微软报告称:“在一个观察到的活动中,PHOSPHORUS 以 Fortinet FortiOS SSL VPN 和全球未修补漏洞的Exchange 服务器为目标,目的是在易受攻击的网络上部署勒索软件。”

Mandiant表示有足够的证据可以将微软发现的Phosphorus活动与APT42、APT35 关联起来,Mandiant 以适度信心判定APT42、APT35 与伊朗官方有关。

参考链接:www.bleepingcomputer.com


标签: 钓鱼 APT42 窃取 Mandiant 活动 目标 页面 伊朗 使用 凭据
出处: https://www.toutiao.com/article/7141276192992182795/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护