Mandiant güvenlikteki siber güvenlik uzmanları, yakın zamanda, özellikle Android cihazlarda casusluk yapmak için geliştirilmiş özel Android kötü amaçlı yazılımlarını ortaya çıkardı. Bu özel kötü amaçlı yazılım, İran devlet destekli bir bilgisayar korsanlığı grubu olan APT42 tarafından aktif olarak kullanılırken.
Burada İran hükümetinin çıkarları, APT42’nin siber casusluk faaliyetleri tarafından özellikle hedefleniyor. APT42’nin faaliyet belirtileri göstermeye başlaması yedi yıl önceydi. Bu etkinlik, uzun mızraklı kimlik avı kampanyalarına odaklandı.
Aşağıdaki varlıklar, bu uzun mızraklı kimlik avı kampanyaları tarafından hedef alındı:-
- Hükümet yetkilileri
- Kural koyucular
- gazeteciler
- akademisyenler
- İranlı muhalifler
Bilgisayar korsanları, onları çalmak için hesap kimlik bilgilerini arıyor. Ayrıca, örneklerin çoğu, özel bir Android kötü amaçlı yazılım türünün dağıtımını da içerir.
APT42 İşlemleri
APT42 kapsamındaki operasyonel faaliyetler genel olarak üç bölüme ayrılabilir ve burada aşağıda belirtilmiştir:-
- Kimlik bilgisi toplama
- Gözetim işlemleri
- Kötü amaçlı yazılım dağıtımı
Hedefler
2015 yılından bu yana 14 farklı ülkede APT42 operatörleri tarafından en az 30 görev gerçekleştirildi. Güvenlik hataları sonucunda güvenlik uzmanları tarafından takip edilmiştir. Ancak gerçek şu ki, ortaya çıkanların sadece küçük bir kısmı.
Grubun (APT42) tutarlı yaklaşımının bir sonucu olarak, aşağıdaki kuruluşlar hedeflenmiştir:-
- Batılı düşünce kuruluşları
- araştırmacılar
- gazeteciler
- Mevcut Batılı hükümet yetkilileri
- İranlı eski hükümet yetkilileri
- İran diasporası yurtdışında
Aşağıda, hedeflenen tüm sektörlerden bahsettik: –
- Sivil toplum ve kar amacı gütmeyen kuruluşlar
- Eğitim
- Devlet
- Sağlık hizmeti
- Yasal ve profesyonel hizmetler
- Üretme
- Medya ve eğlence
- İlaç
Grup, değişen istihbarat toplama çıkarlarına uymak için hedeflerini birkaç kez değiştirdi. Bilgisayar korsanının birincil amacı neredeyse her zaman kurbanlarını kimlik avı sayfalarına yönlendirerek kimlik bilgilerini toplamaktı.
Genellikle onlar tarafından kısaltılmış bir bağlantı veya kurbanların kimlik bilgilerini toplayabileceğiniz bir sayfaya yönlendiren bir düğme içeren bir PDF eki gönderilir.
APT42 ve Fidye Yazılımı Arasındaki Bağlantılar
APT42’nin TTP’leri ile APT42’nin fidye yazılımı etkinliklerinde BitLocker kullanımı arasında bir ilişki vardır. Bu, Microsoft tarafından Kasım 2021’de bildirilirken.
Mandiant tarafından vurgulanan başka bir nokta, APT42 ve UNC2448 ile yaygın olarak ilişkilendirilen izinsiz giriş etkinliği kümelerinin ilişkili bulunabileceğidir.
UNC2448, faaliyetlerinin bir parçası olarak güvenlik açıklarını kapsamlı bir şekilde taramasıyla tanınan İran merkezli bir tehdit aktörüdür. Ancak bunun dışında, APT42 ve UNC2448 arasındaki teknik örtüşme şu anda Mandiant tarafından gözlemlenmedi.
Mandiant raporuna göre, hem APT42 hem de APT35, orta düzeyde bir güvenle IRGC’ye (İslam Devrim Muhafızları Kolordusu) ait kulplar gibi görünüyor.
ABD’nin bu örgütü terör örgütü veya grubu olarak belirlemesi dikkat çekicidir.