Журналисты в роли мишеней: APT42 использует социальную инженерию для кибератак

Кибершпионская группа APT42, известная своей связью с иранскими властями, применяет новые методы скрытного проникновения в сети неправительственных организаций, образовательных учреждений и СМИ по всему миру. По данным аналитической компании Mandiant, группа активна с 2015 года и провела серию успешных атак в 14 странах.

APT42 использует методы социальной инженерии, маскируясь под известные мировые СМИ, такие как The Washington Post и The Economist, с целью взлома электронных писем и облачных хранилищ. Они создают поддельные электронные адреса с ошибками в доменных именах, например, «washinqtonpost[.]press», чтобы обмануть своих жертв.

Основной тактикой является отправка фишинговых писем, которые ведут жертв на мошеннические веб-сайты, имитирующие популярные сервисы, как Google или Microsoft. Такие сайты крадут не только логины и пароли, но и токены для многофакторной аутентификации.

Чтобы укрепить свои позиции в системах жертв и ускользнуть от обнаружения, APT42 использует различные облачные инструменты для очистки следов своей деятельности в браузерах и подмены реальных адресов на электронные, кажущиеся легитимными. Группа также активно применяет развитые бэкдоры, такие как Nicecurl и Tamecat, которые позволяют им удаленно управлять зараженными системами и даже обновлять свою конфигурацию для избежания обнаружения.