APT42扭曲的魅力缺点和妥协

asmani000

今天Mandiant 发布了一份综合报告，详细介绍了 APT42，这是一个伊朗国家资助的网络间谍组织，其任务是针对对伊朗政府具有战略利益的个人和组织进行信息收集和监视行动。我们以中等信心估计，APT42 代表伊斯兰革命卫队 (IRGC) 的情报组织 (IRGC-IO) 运作，其目标模式与该组织的行动任务和优先事项相符。

完整发布的报告涵盖了 APT42 的近期和历史活动（至少可追溯到 2015 年）、该组织的策略、技术和程序、目标模式，并阐明了与 APT35 的 B2B 电子邮件列表 历史联系。

立即阅读APT42 报告，并查看我们的播客，了解有关 APT42 的更多信息。

APT42操作
APT42 使用高度针对性的鱼叉式网络钓鱼和社会工程技术，旨在与受害者建立信任和融洽关系，以访问他们的个人或公司电子邮件帐户或在他们的移动设备上安装 Android 恶意软件。此外，APT42 很少使用 Windows 恶意软件来补充其凭据收集和监视工作。

APT42 操作大致分为三类：

凭据收集： APT42 经常通过高度针对性的鱼叉式网络钓鱼活动来针对企业和个人电子邮件帐户，并在试图窃取其凭据之前更加强调与目标建立信任和融洽关系。Mandiant 还表明，该组织利用凭据收集来收集多重身份验证 (MFA) 代码以绕过身份验证方法，并使用受损的凭据来获取对最初的雇主、同事和亲属的网络、设备和帐户的访问权限。受害者。
监视操作：至少截至 2015 年末，APT42 基础设施的一个子集充当 Android 移动恶意软件的命令和控制 (C2) 服务器，旨在跟踪位置、监视通信并普遍监视伊朗感兴趣的个人的活动政府，包括伊朗境内的活动人士和持不同政见者。
恶意软件部署：虽然 APT42 主要倾向于收集凭据而不是磁盘上的活动，但一些自定义后门和轻量级工具补充了其武器库。当目标超出凭证收集范围时，该组织可能会将这些工具纳入其运营中。



自 2015 年初以来，Mandiant 已观察到 30 多个已确认的跨这些类别的针对性 APT42 操作。几乎可以肯定，APT42 入侵操作的总数要高得多，因为该组织的高操作节奏、部分由于该组织针对个人电子邮件帐户和攻击造成的可见性差距以及国内重点工作以及有关可能与 APT42 相关的威胁集群的广泛开源行业报告。

APT42 操作按类别
图 1：APT42 操作（按类别）
APT42 定位模式
APT42 行动的目标模式与其他伊朗网络间谍活动者类似，其大部分活动集中在中东地区。然而，与其他可疑的 IRGC 附属网络间谍组织专注于以国防工业基地为目标或大规模收集个人身份信息 (PII) 不同，APT42 主要针对被视为政权对手或敌人的组织和个人，特别是获取访问他们的个人帐户和移动设备。该组织一直针对西方智库、研究人员、记者、现任西方政府官员、前伊朗政府官员以及海外伊朗侨民。