APT42, un grupo de hackers iraní, encontrado Nuevos métodos para ataques de espías encubiertos en las empresas. y no solo. Según un informe reciente de Mandiant, APT42 ha estado activo desde 2015 y ha llevado a cabo al menos 30 operaciones en 14 países, principalmente contra organizaciones no gubernamentales, medios de comunicación, instituciones educativas, activistas y servicios legales.
piratas informáticos Utilizan ingeniería social para penetrar redes corporativas y entornos de nube en Occidente y Medio Oriente.. Para infectar objetivos se utilizan correos electrónicos maliciosos con dos puertas traseras personalizadas, Nicecurl y Tamecat. Estos le permiten ejecutar comandos y robar datos.
APT42 se hace pasar por periodistas, representantes de organizaciones no gubernamentales u organizadores de eventos, enviando mensajes con dominios similares a los legítimos. Una vez que te hayas ganado la confianza de la víctima, envían un enlace a un documento que redirige a sitios de inicio de sesión falsos, que imitan servicios conocidos como Google y Microsoft. Estos sitios no sólo roban las credenciales de la víctima, sino también tokens de autenticación de dos factores.
Para fortalecer su posición en las redes infectadas y evadir la detección, APT42 utiliza funciones de herramientas en la nube, borra el historial de Google Chrome y envía archivos a través de cuentas de OneDrive utilizando direcciones de correo electrónico que aparentemente pertenecen a las víctimas.
Ver también
APT42 también utiliza ExpressVPN, dominios Cloudflare y servidores VPS temporales para mantener el anonimato. Bonito rizo Y tamecat son sus puertas traseras favoritas. Nicecurl es una puerta trasera basada en VBScript que puede ejecutar comandos, cargar y ejecutar datos adicionales o realizar análisis de datos en el host infectado. Tamecat es una puerta trasera de PowerShell más sofisticada que puede ejecutar código PowerShell o scripts C#, lo que le da a APT42 más flexibilidad para el robo.
