APT42 (diğer adlarıyla Damselfly, UNC788, CALANQUE, Charming Kitten) İran devlet destekli gelişmiş bir siber casusluk grubudur.
Bu Gelişmiş Sürekli Tehdit (APT) grubu, uzun vadeli ve odaklı dijital gözetim kampanyaları yürütme yeteneğiyle tanınıyor.
Bu tür eylemlerin başlıca hedefleri genellikle hükümet organları, savunma sanayi şirketleri ve kritik altyapılardır.
Cyfirma’daki siber güvenlik araştırmacıları yakın zamanda İranlı APT42 aktörlerinin dünya çapında aktif olarak gözetleme operasyonları yürüttüğünü tespit etti.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Teknik Analiz
APT42, nüfuz edilen ağda görünmez bir varlık sürdürmeyi amaçlayan birçok farklı gelişmiş çalışma yöntemini kullanır.
Bunlar esas olarak veri sızdırma, istihbarat toplama ve stratejik keşifle ilgilenmektedirler.
Bu grubun faaliyetleri çoğunlukla İran’ın jeopolitik çıkarlarıyla örtüşmekte ve dolayısıyla ulus-devlet hacker’lığının değişen ortamını ortaya koymaktadır.
Güvenlik analistleri, orta düzeyde güvenle, APT42’nin İslam Devrim Muhafızları İstihbarat Örgütü’ne (IRGC-IO) bağlı olarak faaliyet gösterdiğine inanıyor.
Bu değerlendirme, IRGC-IO’nun stratejik hedefleri ve operasyonel yetkileriyle uyumlu olan APT42’nin ortak hedefleme kalıplarına dayanmaktadır.
Raporda, grubun siber casusluk faaliyetlerinin İran’ın jeopolitik çıkarlarını sürekli olarak ilerlettiği ve dolayısıyla bu bağı güçlendirdiği ifade ediliyor.
APT42, 2015 yılından bu yana son derece hedefli kimlik avı ve gözetleme operasyonlarında uzmanlaşmıştır.
Grup, hükümet yetkilileri, eski İranlı siyasetçiler, diaspora üyeleri, muhalif gruplar, gazeteciler ve İran üzerine çalışmalar yapan akademisyenler de dahil olmak üzere İran için stratejik öneme sahip kişi ve kuruluşlara odaklanıyor.
.webp)
APT42’nin taktikleri genellikle kurbanlarla güven oluşturarak kişisel ve kurumsal e-posta hesaplarını ele geçirmeyi ve İran devlet çıkarlarıyla uyumlu uzun vadeli istihbarat toplamayı amaçlıyor.
Bu tehdit aktörü tarafından hedef alınan ülkeler ABD, Kanada, Birleşik Krallık, Almanya, Fransa, Orta Doğu ve Avustralya’dır. Aşağıda APT42 tarafından kullanılan tüm araçlardan bahsettik:-
- SANDALYE VURMA
- Ghambhar
- GÜÇLÜ POSTA
- BROKEYOLK
- BÜYÜLÜ DAMLA
- ÇAM ÇİÇEĞİ
- TEKİR KEDİ
- TAMİKAT
- VBREVKABUK
- BAĞ DİKENİ
- DOSTEALER
APT42, hedeflenen ağa eriştikten hemen sonra tam gözetim sağlayan son derece sofistike mobil kötü amaçlı yazılımlar dağıtır. Bunlara konum izleme, çağrı kaydı, medya erişimi ve SMS içerik çıkarma dahildir.
Grubun, İran’ın yeni stratejik önceliklerine uygun olarak taktiklerini değiştirerek uyum sağlama yeteneği gösterdiği dikkat çekiyor.
Kamuoyuna yapılan açıklamalara ve altyapı kesintilerine rağmen APT42’nin dayanıklı yapısı ve kapsamlı operasyon geçmişi, önümüzdeki yıllarda İran’ın hedeflerine ulaşmak için siber casusluk girişimlerinde bulunmaya devam edeceğini gösteriyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces