In seiner Analyse, die zusammen mit dem Sicherheitslabor von Amnesty International durchgeführt wurde, identifizierte HRW 18 Opfer, die im Rahmen derselben Kampagne angegriffen worden waren, und 15 dieser Ziele bestätigten, dass sie zwischen dem 15. September und dem 25. November dieselben WhatsApp-Nachrichten erhalten hatten.
Funktionsweise von APT42
Laut der Sicherheitsfirma Mandiant verwendet APT42 hochgradig zielgerichtete Spear-Phishing- und Social-Engineering-Techniken, die entwickelt wurden, um Vertrauen und eine Beziehung zu ihren Opfern aufzubauen, um auf ihre persönlichen oder geschäftlichen E-Mail-Konten zuzugreifen oder sie zu installieren Android Malware auf ihren Mobilgeräten. Darüber hinaus verwendet APT42 selten Windows-Malware, um ihre Bemühungen zum Sammeln von Anmeldeinformationen und zur Überwachung zu ergänzen.
APT42-Operationen lassen sich grob in drei Kategorien einteilen
Credential Harvesting: APT42 zielt häufig auf Unternehmens- und Privat-E-Mail-Konten durch hochgradig gezielte Spear-Phishing-Kampagnen ab, wobei der Schwerpunkt verstärkt auf dem Aufbau von Vertrauen und Beziehung zum Ziel liegt, bevor versucht wird, seine Credentials zu stehlen. Mandiant hat auch Hinweise darauf, dass die Gruppe das Sammeln von Anmeldeinformationen nutzt, um Multi-Factor Authentication zu sammeln (MFA) Codes, um Authentifizierungsmethoden zu umgehen, und hat kompromittierte Zugangsdaten verwendet, um Zugriff auf die Netzwerke, Geräte und Konten von Arbeitgebern, Kollegen und Verwandten des ursprünglichen Opfers zu erlangen.
Überwachungsoperationen: Spätestens Ende 2015 diente ein Teil der Infrastruktur von APT42 als Command-and-Control (C2)-Server für mobile Android-Malware, die entwickelt wurde, um Standorte zu verfolgen, die Kommunikation zu überwachen und allgemein die Aktivitäten von Personen zu überwachen, die für den Iraner von Interesse sind Regierung, einschließlich Aktivisten und Dissidenten im Iran.
Malware-Bereitstellung: Während APT42 in erster Linie das Sammeln von Anmeldeinformationen gegenüber Aktivitäten auf der Festplatte bevorzugt, ergänzen mehrere benutzerdefinierte Hintertüren und leichte Tools sein Arsenal. Die Gruppe integriert diese Tools wahrscheinlich in ihren Betrieb, wenn die Ziele über das Sammeln von Anmeldeinformationen hinausgehen.
Mandiant hat seit Anfang 2015 über 30 bestätigte gezielte APT42-Operationen in diesen Kategorien beobachtet. Die Gesamtzahl der APT42-Intrusion-Operationen ist mit ziemlicher Sicherheit viel höher, basierend auf dem hohen Betriebstempo der Gruppe, Sichtbarkeitslücken, die teilweise durch die Ausrichtung der Gruppe auf persönliche E-Mail-Konten verursacht werden, und auf das Inland ausgerichtete Bemühungen und umfangreiche Open-Source-Branchenberichte zu Bedrohungsclustern, die wahrscheinlich mit APT42 in Verbindung gebracht werden.
Sehen Sie auch: