L’APT ITG18 iraniano prende di mira i riformisti all’interno del Paese

Il gruppo iraniano APT IGT18 è di nuovo nelle notizie con circa 120 GB di dati rubati. Secondo i ricercatori dell’IBM, questo gruppo ha legami con Charming Kitten, Phosphorus e TA453. I ricercatori sono stati in grado di mettere a nudo diversi dettagli sulle operazioni del gruppo, incluso il nuovo malware.

Cosa c’è di nuovo?

In un rapporto dettagliato, i ricercatori di IBM Security X-Force hanno rivelato una serie di informazioni sui recenti obiettivi di IGT18.

  • Tra agosto 2020 e maggio 2021, il gruppo APT comprendeva diverse vittime associate al movimento riformista iraniano. 
  • I dati mirati includevano foto, elenchi di contatti, conversazioni e appartenenze a gruppi.
  • I dati rubati sono stati reinviati ai server C2 tramite account compromessi da piattaforme di social media sicure, più recentemente Telegram. 
  • Il gruppo ha esfiltrato circa 120 GB di dati da circa 20 individui, per lo più in linea con il movimento riformista iraniano.

Vettori di attacco e approfondimenti aggiuntivi

Secondo le fonti, i ricercatori sono riusciti ad accedere a una directory di file aperta utilizzata dalla banda. Ciò ha permesso loro di trovare diverse risorse, inclusi nuovi malware, dati esfiltrati dalle vittime e video di formazione.

  • Hanno usato un nuovo malware chiamato LittleLooter, una backdoor che prende di mira i dispositivi Android. Potrebbe rubare dati sulla posizione, cronologia del browser, cronologia delle chiamate, messaggi SMS e registrare audio e video.
  • Si ritiene inoltre che gli aggressori abbiano utilizzato trucchi di ingegneria sociale tramite chiamate personalizzate, chat e videoconferenze.
  • I ricercatori sono stati in grado di monitorare circa 60 server che ospitano oltre 100 domini di phishing.

Inoltre, la scoperta di video di formazione indica che il gruppo APT è seriamente intenzionato a impartire competenze ad altri membri e, possibilmente, a reclutare nuovi membri.

Conclusione

Durante il suo attacco, ITG18 è stato osservato utilizzare diverse attività che richiedono intensi sforzi manuali, come chiamate personalizzate, canti e videoconferenze per attirare le sue vittime. Gli esperti sono fiduciosi che il gruppo continuerà a lavorare per raggiungere il suo scopo anche dopo aver reso pubbliche le sue attività a causa della sua vasta gamma di obiettivi e traguardi.