APT42

APT42 est un groupe de cyberespionnage soutenu par l'État iranien, actif depuis au moins 2015, connu pour cibler des individus et des organisations dans le monde entier par le biais du spearphishing, de la surveillance mobile et du vol d'informations d'identification.

Votre organisation est-elle à l'abri des attaques d'APT42 ?

L'origine de l'APT42

APT42 est un groupe de cyberespionnage parrainé par l'État iranien, actif depuis au moins 2015. Il est principalement chargé de mener des opérations de collecte de renseignements pour le compte du Corps des gardiens de la révolution islamique d'Iran (IRGC), en se concentrant sur la surveillance de personnes et d'entités présentant un intérêt stratégique. Certains fournisseurs ont associé les opérations d'APT42 à celles de "Magic Hound", mais les deux groupes sont considérés comme distincts en raison de différences de comportement et de logiciels. APT42 est connu pour son utilisation de campagnes de spearphishing sur mesure, de malware surveillance mobile et d'infrastructures de collecte d'informations d'identification pour soutenir des efforts d'espionnage à long terme.

Pays ciblés par APT42

Les opérations d'APT42 s'étendent au-delà du Moyen-Orient et visent notamment des entités aux États-Unis, au Royaume-Uni, en Israël, en Irak, en Arabie saoudite, en Allemagne, en Australie, en Albanie et en Iran même. Les activités du groupe témoignent d'une stratégie axée à la fois sur les adversaires étrangers et sur les populations dissidentes internes.

Industries ciblées par APT42

APT42 cible un large éventail de secteurs, notamment les institutions universitaires, le pétrole et le gaz, les entreprises de défense, les organisations militaires nationales, les ONG, les groupes de réflexion, les services financiers, les agences gouvernementales, le secteur technologique, les médias, l'aérospatiale, les soins de santé, l'énergie et les industries pharmaceutiques. Leur objectif est généralement aligné sur les priorités géopolitiques et nationales de l'Iran en matière de renseignement.

Les victimes d'APT42

Les victimes sont souvent des fonctionnaires, des journalistes, des militants des droits de l'homme, des universitaires et des dissidents politiques. APT42 élabore souvent des leurres sur mesure en se faisant passer pour des journalistes ou des institutions légitimes dans des courriels de phishing . Les opérations comprennent le vol d'informations d'identification dans des environnements Microsoft 365 et la surveillance d'appareils mobiles à l'aide de malware Android tels que PINEFLOWER.

Méthode d'attaque

La méthode d'attaque d'APT42

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

APT42 commence ses attaques par des courriels de spearphishing contenant des liens malveillants, ou diffuse des malware Android tels que PINEFLOWER à des cibles mobiles. Ces courriels usurpent souvent l'identité de contacts connus ou d'institutions réputées.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

APT42 utilise des scripts PowerShell (par exemple, POWERPOST) pour élever les privilèges et accéder aux informations sensibles des comptes.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Ils utilisent des modifications de registre, des techniques anti-forensic telles que l'effacement des journaux et de l'historique du navigateur, ainsi que des charges utiles masquées (comme VINETHORN en tant que logiciel VPN) pour éviter d'être détectés.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

APT42 vole des informations d'identification par le biais de l'extraction du navigateur Web, de l'enregistrement des touches et de l'interception des jetons d'authentification multifactorielle (MFA) à l'aide de fausses pages de connexion.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Le groupe utilise l'instrumentation de gestion Windows (WMI) et des outils de malware (GHAMBAR, POWERPOST) pour étudier les logiciels de sécurité, les configurations du système et les paramètres du réseau.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Si les mouvements latéraux sont moins détaillés, l'acquisition d'infrastructures et la mise en place d'un système de commandement et de contrôle impliquent des efforts pour pivoter au sein des réseaux une fois l'accès obtenu.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

APT42 collecte des captures d'écran du système, des cookies de session de navigateur, des documents Microsoft 365 et des journaux de touches, en se concentrant sur les documents sensibles d'un point de vue politique ou stratégique.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Le groupe exécute des scripts et des malware à l'aide de PowerShell, de VBScript, de tâches programmées et de liens web malveillants.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

L'exfiltration des données s'effectue sur des canaux HTTPS cryptés à l'aide d'outils tels que NICECURL. Ils utilisent également le codage Base64 et une infrastructure anonyme pour dissimuler le trafic.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Les opérations d'APT42 sont axées sur la collecte de renseignements à long terme plutôt que sur la perturbation ou le sabotage. Leur impact réside dans la surveillance, le vol de données et la collecte de renseignements géopolitiques.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

APT42 commence ses attaques par des courriels de spearphishing contenant des liens malveillants, ou diffuse des malware Android tels que PINEFLOWER à des cibles mobiles. Ces courriels usurpent souvent l'identité de contacts connus ou d'institutions réputées.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

APT42 utilise des scripts PowerShell (par exemple, POWERPOST) pour élever les privilèges et accéder aux informations sensibles des comptes.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Ils utilisent des modifications de registre, des techniques anti-forensic telles que l'effacement des journaux et de l'historique du navigateur, ainsi que des charges utiles masquées (comme VINETHORN en tant que logiciel VPN) pour éviter d'être détectés.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

APT42 vole des informations d'identification par le biais de l'extraction du navigateur Web, de l'enregistrement des touches et de l'interception des jetons d'authentification multifactorielle (MFA) à l'aide de fausses pages de connexion.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Le groupe utilise l'instrumentation de gestion Windows (WMI) et des outils de malware (GHAMBAR, POWERPOST) pour étudier les logiciels de sécurité, les configurations du système et les paramètres du réseau.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Si les mouvements latéraux sont moins détaillés, l'acquisition d'infrastructures et la mise en place d'un système de commandement et de contrôle impliquent des efforts pour pivoter au sein des réseaux une fois l'accès obtenu.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

APT42 collecte des captures d'écran du système, des cookies de session de navigateur, des documents Microsoft 365 et des journaux de touches, en se concentrant sur les documents sensibles d'un point de vue politique ou stratégique.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Le groupe exécute des scripts et des malware à l'aide de PowerShell, de VBScript, de tâches programmées et de liens web malveillants.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

L'exfiltration des données s'effectue sur des canaux HTTPS cryptés à l'aide d'outils tels que NICECURL. Ils utilisent également le codage Base64 et une infrastructure anonyme pour dissimuler le trafic.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Les opérations d'APT42 sont axées sur la collecte de renseignements à long terme plutôt que sur la perturbation ou le sabotage. Leur impact réside dans la surveillance, le vol de données et la collecte de renseignements géopolitiques.

MITRE ATT&CK Mapping

Les TTP utilisées par l'APT42

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1656
Impersonation
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1539
Steal Web Session Cookie
T1555
Credentials from Password Stores
T1111
Multi-Factor Authentication Interception
T1056
Input Capture
TA0007: Discovery
T1518
Software Discovery
T1087
Account Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1530
Data from Cloud Storage
T1113
Screen Capture
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1132
Data Encoding
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.

Foire aux questions

Qui sponsorise l'APT42 ?

Qu'est-ce qui différencie APT42 de Magic Hound ?

Comment APT42 obtient-il un accès initial ?

Quels sont les malware utilisés par APT42 ?

Comment se maintiennent-ils sur les systèmes infectés ?

Utilisent-ils des informations d'identification volées pour les plates-formes cloud ?

Comment font-ils pour ne pas être détectés ?

Quelles sont les techniques de détection efficaces contre APT42 ?

L'APT42 est-il destructeur ?

Comment les organisations peuvent-elles se défendre contre APT42 ?