APT42
APT42 est un groupe de cyberespionnage soutenu par l'État iranien, actif depuis au moins 2015, connu pour cibler des individus et des organisations dans le monde entier par le biais du spearphishing, de la surveillance mobile et du vol d'informations d'identification.
L'origine de l'APT42
APT42 est un groupe de cyberespionnage parrainé par l'État iranien, actif depuis au moins 2015. Il est principalement chargé de mener des opérations de collecte de renseignements pour le compte du Corps des gardiens de la révolution islamique d'Iran (IRGC), en se concentrant sur la surveillance de personnes et d'entités présentant un intérêt stratégique. Certains fournisseurs ont associé les opérations d'APT42 à celles de "Magic Hound", mais les deux groupes sont considérés comme distincts en raison de différences de comportement et de logiciels. APT42 est connu pour son utilisation de campagnes de spearphishing sur mesure, de malware surveillance mobile et d'infrastructures de collecte d'informations d'identification pour soutenir des efforts d'espionnage à long terme.
Pays ciblés par APT42
Les opérations d'APT42 s'étendent au-delà du Moyen-Orient et visent notamment des entités aux États-Unis, au Royaume-Uni, en Israël, en Irak, en Arabie saoudite, en Allemagne, en Australie, en Albanie et en Iran même. Les activités du groupe témoignent d'une stratégie axée à la fois sur les adversaires étrangers et sur les populations dissidentes internes.
Industries ciblées par APT42
APT42 cible un large éventail de secteurs, notamment les institutions universitaires, le pétrole et le gaz, les entreprises de défense, les organisations militaires nationales, les ONG, les groupes de réflexion, les services financiers, les agences gouvernementales, le secteur technologique, les médias, l'aérospatiale, les soins de santé, l'énergie et les industries pharmaceutiques. Leur objectif est généralement aligné sur les priorités géopolitiques et nationales de l'Iran en matière de renseignement.
Les victimes d'APT42
Les victimes sont souvent des fonctionnaires, des journalistes, des militants des droits de l'homme, des universitaires et des dissidents politiques. APT42 élabore souvent des leurres sur mesure en se faisant passer pour des journalistes ou des institutions légitimes dans des courriels de phishing . Les opérations comprennent le vol d'informations d'identification dans des environnements Microsoft 365 et la surveillance d'appareils mobiles à l'aide de malware Android tels que PINEFLOWER.
La méthode d'attaque d'APT42
APT42 commence ses attaques par des courriels de spearphishing contenant des liens malveillants, ou diffuse des malware Android tels que PINEFLOWER à des cibles mobiles. Ces courriels usurpent souvent l'identité de contacts connus ou d'institutions réputées.
APT42 utilise des scripts PowerShell (par exemple, POWERPOST) pour élever les privilèges et accéder aux informations sensibles des comptes.
Ils utilisent des modifications de registre, des techniques anti-forensic telles que l'effacement des journaux et de l'historique du navigateur, ainsi que des charges utiles masquées (comme VINETHORN en tant que logiciel VPN) pour éviter d'être détectés.
APT42 vole des informations d'identification par le biais de l'extraction du navigateur Web, de l'enregistrement des touches et de l'interception des jetons d'authentification multifactorielle (MFA) à l'aide de fausses pages de connexion.
Le groupe utilise l'instrumentation de gestion Windows (WMI) et des outils de malware (GHAMBAR, POWERPOST) pour étudier les logiciels de sécurité, les configurations du système et les paramètres du réseau.
Si les mouvements latéraux sont moins détaillés, l'acquisition d'infrastructures et la mise en place d'un système de commandement et de contrôle impliquent des efforts pour pivoter au sein des réseaux une fois l'accès obtenu.
APT42 collecte des captures d'écran du système, des cookies de session de navigateur, des documents Microsoft 365 et des journaux de touches, en se concentrant sur les documents sensibles d'un point de vue politique ou stratégique.
Le groupe exécute des scripts et des malware à l'aide de PowerShell, de VBScript, de tâches programmées et de liens web malveillants.
L'exfiltration des données s'effectue sur des canaux HTTPS cryptés à l'aide d'outils tels que NICECURL. Ils utilisent également le codage Base64 et une infrastructure anonyme pour dissimuler le trafic.
Les opérations d'APT42 sont axées sur la collecte de renseignements à long terme plutôt que sur la perturbation ou le sabotage. Leur impact réside dans la surveillance, le vol de données et la collecte de renseignements géopolitiques.
APT42 commence ses attaques par des courriels de spearphishing contenant des liens malveillants, ou diffuse des malware Android tels que PINEFLOWER à des cibles mobiles. Ces courriels usurpent souvent l'identité de contacts connus ou d'institutions réputées.
APT42 utilise des scripts PowerShell (par exemple, POWERPOST) pour élever les privilèges et accéder aux informations sensibles des comptes.
Ils utilisent des modifications de registre, des techniques anti-forensic telles que l'effacement des journaux et de l'historique du navigateur, ainsi que des charges utiles masquées (comme VINETHORN en tant que logiciel VPN) pour éviter d'être détectés.
APT42 vole des informations d'identification par le biais de l'extraction du navigateur Web, de l'enregistrement des touches et de l'interception des jetons d'authentification multifactorielle (MFA) à l'aide de fausses pages de connexion.
Le groupe utilise l'instrumentation de gestion Windows (WMI) et des outils de malware (GHAMBAR, POWERPOST) pour étudier les logiciels de sécurité, les configurations du système et les paramètres du réseau.
Si les mouvements latéraux sont moins détaillés, l'acquisition d'infrastructures et la mise en place d'un système de commandement et de contrôle impliquent des efforts pour pivoter au sein des réseaux une fois l'accès obtenu.
APT42 collecte des captures d'écran du système, des cookies de session de navigateur, des documents Microsoft 365 et des journaux de touches, en se concentrant sur les documents sensibles d'un point de vue politique ou stratégique.
Le groupe exécute des scripts et des malware à l'aide de PowerShell, de VBScript, de tâches programmées et de liens web malveillants.
L'exfiltration des données s'effectue sur des canaux HTTPS cryptés à l'aide d'outils tels que NICECURL. Ils utilisent également le codage Base64 et une infrastructure anonyme pour dissimuler le trafic.
Les opérations d'APT42 sont axées sur la collecte de renseignements à long terme plutôt que sur la perturbation ou le sabotage. Leur impact réside dans la surveillance, le vol de données et la collecte de renseignements géopolitiques.
Les TTP utilisées par l'APT42
Comment détecter APT42 avec Vectra AI
Foire aux questions
Qui sponsorise l'APT42 ?
APT42 serait parrainé par le gouvernement iranien, en particulier par le Corps des gardiens de la révolution islamique (CGRI).
Qu'est-ce qui différencie APT42 de Magic Hound ?
Bien que les malware et les comportements se recoupent, ils sont suivis séparément en raison des différences de ciblage, d'outils et de techniques.
Comment APT42 obtient-il un accès initial ?
Ils s'appuient sur des courriels de spearphishing contenant des liens malveillants ou des malware Android pour compromettre les appareils et voler les informations d'identification.
Quels sont les malware utilisés par APT42 ?
Les malware les plus courants sont PINEFLOWER (Android), POWERPOST, GHAMBAR et VINETHORN (déguisés en applications VPN).
Comment se maintiennent-ils sur les systèmes infectés ?
APT42 utilise des modifications du registre, des tâches planifiées et des techniques de démarrage automatique de malware .
Utilisent-ils des informations d'identification volées pour les plates-formes cloud ?
Oui, APT42 cible spécifiquement les environnements Microsoft 365, en collectant des documents et des jetons de session.
Comment font-ils pour ne pas être détectés ?
Ils utilisent un trafic HTTPS crypté (NICECURL), masquent leurs outils et effacent les traces médico-légales comme l'historique du navigateur.
Quelles sont les techniques de détection efficaces contre APT42 ?
La surveillance comportementale (par exemple, l'exécution de scripts via PowerShell/VBScript), l'inspection du trafic DNS et TLS et l'analyse des jetons MFA peuvent aider à détecter l'activité d'APT42.
L'APT42 est-il destructeur ?
Non, APT42 se concentre principalement sur l'espionnage, la collecte d'informations et la surveillance. Elle ne déploie généralement pas de ransomware ou de wipers.
Comment les organisations peuvent-elles se défendre contre APT42 ?
Mettre en œuvre un système MFA phishing, surveiller les activités anormales de Microsoft 365, restreindre l'utilisation de PowerShell et déployer des solutions NDR capables de détecter les attaques basées sur des scripts et les activités d'enregistrement de frappe.