Free

APT42-Hacker greifen im Gewand von Journalisten an

Die vom iranischen Staat unterstützte Hackergruppe APT42 hat eine neue Masche, um Anmeldeinformationen zu sammeln und Daten aus Cloud-Systemen abzugreifen. Nach Informationen der Google-Cloud-Tochter Mandiant zielen die Akteure dabei auf Organisationen wie Nichtregierungsorganisationen, Medien, Hochschulen und Rechtsdienste sowie Aktivisten im Westen und im Nahen Osten ab.

Lesezeit 3 Min.

Das US-Unternehmen Mandiant hat beobachtet, wie APT42-Akteure sich als Journalisten oder Veranstalter ausgeben, um Vertrauen bei ihren Zielen aufzubauen. Dabei kommunizieren sie sehr fleißig und senden gerne Einladungen zu Veranstaltungen oder für den Download legitimer Dokumente.

Mit diesen Social-Engineering-Methoden versucht APT42 an Anmeldedaten zu kommen, um damit in Cloud-Umgebungen einzudringen. Dort stehlen die Hacker heimlich Daten, die für den Iran wichtig sind. Dabei nutzen sie Standardfunktionen und Open-Source-Tools, um nicht entdeckt zu werden.

APT42, auch bekannt als Damselfly und UNC788, wurde erstmals im September 2022 von Mandiant dokumentiert. Es handelt sich um eine vom iranischen Staat unterstützte Cyberspionage-Gruppe, die Informationen sammelt und Personen oder Organisationen ausspioniert, die für die Regierung des Iran von strategischer Bedeutung sind.

APT35, auch bekannt unter den Namen CALANQUE, CharmingCypress, Charming Kitten, ITG18, Mint Sandstorm (ehemals Phosphorus), Newscaster, TA453 und Yellow Garuda, ist eine berüchtigte Bedrohungsgruppe, die mit dem Korps der Islamischen Revolutionsgarden (IRGC) verbunden ist. Es wird angenommen, dass APT42 eine Untergruppe von APT35 ist. Während APT35 sich auf langfristige, malware-intensive Operationen konzentriert, die auf Organisationen und Unternehmen in den USA und im Nahen Osten abzielen, hat APT42 spezifische Personen und Organisationen im Visier, um innen- und außenpolitische Ziele des iranischen Regimes zu unterstützen und die Stabilität des Regimes zu gewährleisten.

Im Januar dieses Jahres berichtete Microsoft über Phishing-Kampagnen, die dem Charming-Kitten-Akteur zugeschrieben werden. Diese Kampagnen, die seit November 2023 laufen, zielen auf hochrangige Personen in Bildungs- und Forschungseinrichtungen in Belgien, Frankreich, Gaza, Israel, Großbritannien und den USA ab, die sich mit Angelegenheiten des Nahen Ostens befassen.

Die Angriffe von Charming Kitten beinhalten das Sammeln von Anmeldedaten durch Spear-Phishing-E-Mails mit bösartigen Links, die Empfänger auf gefälschte Anmeldeseiten von Microsoft, Yahoo und Google führen.

Die Angreifer senden E-Mails von Domänen, die den Originalunternehmen ähnlich sind und sich als Nachrichtenagenturen oder legitime Dienste wie Dropbox, Google Meet, LinkedIn und YouTube tarnen. Sie verwenden auch Mailer-Daemons und URL-Verkürzungsdienste.

Nachdem das Vertrauen der Opfer gewonnen wurde, erfolgt die Datenexfiltration aus der öffentlichen Cloud-Infrastruktur der Opfer, um Dokumente zu erhalten, die für den Iran von Interesse sind. Charming Kitten beherrscht diese Taktik sehr gut.

Mandiant berichtet, dass diese Operationen mit verbesserten Social-Engineering-Methoden beginnen, um den ersten Zugang zu den Opfer-Netzwerken zu erhalten. Oft beinhaltet dies eine fortlaufende Korrespondenz, um das Vertrauen des Opfers zu gewinnen.

Anschließend werden die gewünschten Anmeldedaten beschafft und die Multi-Faktor-Authentifizierung (MFA) umgangen. Zunächst hatten die Angreifer versucht, das MFA-Token auf einer geklonten Website abzufangen. Nachdem sich der gewünschte Erfolg nicht einstellte, wechselten sie ihre Taktik. Jetzt schicken sie MFA-Push-Benachrichtigungen an ihre Opfer – und das scheint zu funktionieren.

Um ihre Spuren zu verwischen und unauffällig zu bleiben, nutzt die Gruppe öffentlich verfügbare Tools, lädt Dateien in ein OneDrive-Konto hoch, das sich als die Organisation des Opfers ausgibt, und verwendet VPN und anonyme Infrastrukturen, um mit der kompromittierten Umgebung zu interagieren.

APT42 verwendet außerdem zwei spezielle Hintertüren, die als Plattform für die Bereitstellung zusätzlicher Malware dienen, oder um Befehle auf dem betroffenen Gerät manuell auszuführen:

  • NICECURL (auch bekannt als BASICSTAR), eine in VBScript geschriebene Hintertür, die zusätzliche Module herunterladen und ausführen kann, und
  • TAMECAT, ein PowerShell-Tool, das beliebige PowerShell- oder C#-Inhalte ausführen kann.

NICECURL wurde im Februar 2024 von Volexity im Zusammenhang mit Cyberangriffen auf Politikexperten im Nahen Osten zwischen September und Oktober 2023 entdeckt.

Mandiant kam zu dem Schluss, dass APT42 trotz des Konflikts zwischen Israel und Hamas weiterhin hauptsächlich auf die Sammlung von Informationen und das Anvisieren ähnlicher Ziele fokussiert bleibt, während andere Akteure aus dem Iran-nahen Umfeld sich angepasst haben, indem sie störende, zerstörerische und Hack-and-Leak-Aktivitäten durchführen.

Die Methoden, die von APT42 angewandt werden, hinterlassen nur wenige Spuren und könnten die Erkennung und Eindämmung ihrer Aktivitäten für Netzwerkverteidiger erschweren.

Diesen Beitrag teilen: