APT42, un gruppo di hacker iraniani, ha trovato nuovi metodi per attacchi di spionaggio segreti nel mondo degli affari e non solo. Secondo un recente report di Mandiant, APT42 è attivo dal 2015 e ha condotto almeno 30 operazioni in 14 paesi, principalmente contro organizzazioni non governative, media, istituzioni educative, attivisti e servizi legali.
Gli hacker utilizzano ingegneria sociale per penetrare in reti aziendali e ambienti cloud in Occidente e Medio Oriente. Le e-mail dannose con due backdoor personalizzate, Nicecurl e Tamecat, vengono utilizzate per infettare gli obiettivi. Queste consentono di eseguire comandi e rubare dati.
APT42 si spaccia per giornalisti, rappresentanti di organizzazioni non governative o organizzatori di eventi, inviando messaggi con domini simili a quelli legittimi. Una volta guadagnata la fiducia della vittima, inviano un link a un documento che reindirizza a falsi siti di accesso, che imitano servizi noti come Google e Microsoft. Questi siti non solo rubano le credenziali della vittima, ma anche i token di autenticazione a due fattori.
Per rafforzare la propria posizione nelle reti infette e eludere la rilevazione, APT42 utilizza funzionalità di strumenti cloud, cancella la cronologia di Google Chrome e invia file tramite account OneDrive utilizzando indirizzi email apparentemente appartenenti alle vittime.
APT42 utilizza inoltre ExpressVPN, domini su Cloudflare e server VPS temporanei per mantenere l’anonimato. Nicecurl e Tamecat sono le loro backdoor preferite. Nicecurl è una backdoor basata su VBScript che può eseguire comandi, caricare ed eseguire dati aggiuntivi o eseguire un’analisi dei dati sul host infetto. Tamecat è una backdoor PowerShell più sofisticata che può eseguire codice PowerShell o script C#, offrendo a APT42 una maggiore flessibilità per il furto.