APT42, İran hükümeti tarafından desteklendiği düşünülen bir APT grubudur ve bu grubun temel faaliyet alanı siber casusluktur.
Bunun dışında, APT42 diğer yasadışı faaliyetleriyle de iyi bilinmektedir. Siber casusluğun yanı sıra, kimlik avı kampanyaları ve çok çeşitli varlıklara karşı veri sızdırma faaliyetleri de yürütmektedirler.
Ancak özellikle askeri ve stratejik çıkarlarla bağlantılı kuruluşları hedef alıyorlar.
Google’ın Tehdit Analizi Grubu’ndaki (TAG) siber güvenlik uzmanları, APT42’nin ABD başkanlık seçimlerine saldırmak için büyük çaplı bir kimlik avı kampanyası başlattığını tespit etti.
İran APT42 Grubu
APT42, İran Devrim Muhafızları Ordusu’na bağlı bir örgüt olup, İsrail ve ABD’deki önemli şahsiyetlere yönelik saldırı faaliyetlerini yoğunlaştırdı.
Bu üst düzey hedefler, grubun bu dönemde hacklediği tüm coğrafi bölgelerin yüzde 60’ını temsil ediyordu.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Kurbanları arasında mevcut ve eski hükümet yetkilileri, siyasi kampanya çalışanları, diplomatlar, düşünce kuruluşu araştırmacıları, akademisyenler ve dış politika tartışmalarına katılan STK çalışanları gibi geniş bir yelpaze yer alıyor.
Nisan 2024’te grup, özellikle askeri veya savunma sektörleriyle ilgili olanlar olmak üzere İsrail hedeflerini onlar için daha da ilgi çekici hale getirdi.
APT42, kötü amaçlı yazılımları, kimlik avı sayfalarını ve kötü amaçlı yönlendirmeleri barındırmak için Google Sites, Drive, Gmail, Dropbox ve OneDrive gibi bulut hizmetlerini kötüye kullanarak çeşitli türlerde gelişmiş kimlik avı teknikleri kullanır.
Yöntemleri arasında sahte dilekçeler oluşturmak (örneğin İsrail Yahudi Ajansı’ndan olduğu iddia edilen bir dilekçe), Washington Yakın Doğu Politikaları Enstitüsü gibi meşru örgütleri taklit etmek ve “understandingthewar” gibi yazım yanlışı alan adları kullanmak yer alıyor.[.]org” adını, Savaş Çalışmaları Enstitüsü’nü taklit edecek şekilde değiştirdi.
.webp)
Grubun kimlik bilgisi dolandırıcılığındaki başarısı, ısrarları ve yoğun sosyal mühendislik kullanımı sayesinde elde edildi.
Google ise buna karşılık, ele geçirilen hesapları sıfırlama, hedeflenen kullanıcıları uyarma, kötü amaçlı Google Sites sayfalarını engelleme ve zararlı alan adlarını Güvenli Tarama engelleme listesine ekleme gibi çeşitli karşı önlemler uyguladı.
Google’ın girişimlerine rağmen APT42, İran’ın değişen siyasi ve askeri hedeflerine uyum sağlamadaki çevikliğini göstererek stratejilerini hızla uyarlıyor ve bölgedeki bilinen hedefler için sürekli bir tehlike oluşturmaya devam ediyor.
APT42, 2020 ve sonrasında Amerika’nın en büyük iki siyasi parti kampanyasıyla bağlantılı hesapları hacklemeye çalıştı.
Grup ayrıca kimlik bilgileri için kişiselleştirilmiş hasat araçları (GCollection, LCollection, YCollection) ve sosyal medyada mağdurları manipüle etme gibi oldukça gelişmiş numaralara da başvuruyor.
Kimlik avı sayfalarını güvenilir kılmak için Google Sites, OneDrive ve Dropbox gibi hizmetleri kötüye kullanıyorlar ve genellikle hedeflerinin güvenlik ayarlarını ve coğrafi konumlarını kapsamlı bir şekilde inceleyerek yaklaşımlarını buna göre belirliyorlar.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces