Nuevo grupo de hackers iraníes está desplegando spyware personalizado para Android
Investigadores de Mandiant han descubierto un nuevo grupo de hackers patrocinado por el estado iraní conocido como APT42. APT42 usa un malware personalizado de Android para espiar objetivos de interés.
La firma de ciberseguridad ha recopilado suficiente evidencia para determinar que APT42 es un grupo de hackers patrocinado por el estado que se dedica al espionaje cibernético contra personas y organizaciones de particular interés para el gobierno iraní.
Los primeros signos de actividad de APT42 datan de hace siete años y giran en torno a largas campañas de phishing. Estas campañas estaban dirigidas a funcionarios gubernamentales, legisladores, periodistas, académicos de todo el mundo y disidentes iraníes.
El objetivo de los hackers es robar las credenciales de la cuenta. Sin embargo, en muchos casos, también implementan una cepa de malware de Android personalizada. El malware es capaz de rastrear a las víctimas, acceder al almacenamiento del dispositivo y extraer datos de comunicación.
Las operaciones de APT42 se dividen en general en tres categorías:
- Recolección de credenciales: APT42 se enfoca con frecuencia en cuentas de correo electrónico corporativas y personales a través de campañas de phishing altamente específicas con mayor énfasis en generar confianza y una relación con el objetivo antes de intentar robar sus credenciales. Mandiant también tiene indicios de que el grupo aprovecha la recopilación de credenciales para recopilar códigos de autenticación multifactor (MFA) para eludir los métodos de autenticación. Asimismo, ha utilizado credenciales comprometidas para obtener acceso a las redes, dispositivos y cuentas de empleadores, colegas y familiares de las primeras víctimas.
- Operaciones de vigilancia: al menos a fines de 2015, un subconjunto de la infraestructura de APT42 sirvió como servidores de comando y control (C2) para malware móvil Android. El malware estaba diseñado para rastrear ubicaciones, monitorear comunicaciones y, en general, vigilar las actividades de personas de interés para Irán. gobierno, incluidos activistas y disidentes dentro de Irán.
- Implementación de malware: si bien APT42 prefiere principalmente la recopilación de credenciales a la actividad en el disco, no se limitan a eso. También tienen varias puertas traseras personalizadas y herramientas livianas complementan su arsenal. Es probable que el grupo incorpore estas herramientas en sus operaciones cuando los objetivos van más allá de la recolección de credenciales.
Campañas y objetivos
Según Mandiant, quien descubrió las actividades del nuevo grupo de hacking, APT42 ha realizado al menos 30 operaciones en 14 países desde 2015. Sin embargo, es probable que solo una pequeña parte haya sido expuesta debido a errores de seguridad de la operación que permitieron rastrearlos.
El grupo cambió de objetivo varias veces para adaptarse a los cambiantes intereses de recopilación de inteligencia. Por ejemplo, en 2020, APT42 usó correos electrónicos de phishing que se hacían pasar por un vacunólogo de la Universidad de Oxford para dirigirse a productos farmacéuticos extranjeros.
En 2021, APT42 usó direcciones de correo electrónico comprometidas de organizaciones de medios de Estados Unidos para dirigirse a las víctimas con solicitudes de entrevistas falsas, interactuando con ellas durante 37 días antes de atacar con una página de recolección de credenciales.
Más recientemente, en febrero de 2022, los hackers se hicieron pasar por una agencia de noticias británica. En esta ocasión, el objetivo era atacar a profesores de ciencias políticas en Bélgica y los Emiratos Árabes Unidos.
En la mayoría de los casos, los hackers tenían como objetivo la recolección de credenciales dirigiendo a sus víctimas a páginas de phishing creadas para aparecer como portales de inicio de sesión legítimos.
Lo hacen enviando enlaces acortados o un archivo PDF adjunto que contiene botones que conducen a páginas de recolección de credenciales que también pueden interceptar códigos MFA.
Malware de Android
La cepa de malware móvil utilizada en las campañas de APT42 ayuda a los atacantes a rastrear de cerca a sus objetivos de mayor interés. Por ejemplo, exfiltrando llamadas telefónicas, bandejas de entrada de SMS y grabaciones de audio de la habitación todos los días.
Mandiant dice que el spyware de Android se propaga principalmente a objetivos iraníes a través de mensajes de texto SMS. Estos SMS contienen enlaces a una supuesta aplicación de mensajería o VPN que puede ayudar a eludir las restricciones impuestas por el gobierno.
“El uso de malware de Android para atacar a personas de interés para el gobierno iraní proporciona a APT42 un método productivo para obtener información confidencial sobre objetivos, incluidos movimientos, contactos e información personal”.
“La capacidad comprobada del grupo para grabar llamadas telefónicas, activar el micrófono y grabar el audio, filtrar imágenes y tomar fotografías cuando se le ordena, leer mensajes SMS y rastrear la ubicación GPS de la víctima en tiempo real representa un riesgo real para las víctimas individuales de esta campaña”.
Informe técnico de Mandiant.
Sin embargo, Mandiant también informa haber descubierto páginas de destino para descargar aplicaciones de mensajería instantánea en árabe. En otras palabras, los atacantes también podrían haber implementado el malware de Android fuera de Irán.
APT42 utiliza un amplio conjunto de malware personalizado ligero en los sistemas Windows para establecer un punto de apoyo y robar credenciales que les permitirán aumentar los privilegios y realizar un reconocimiento en la red.
Para el movimiento lateral, los hackers envían correos electrónicos de phishing a los colegas del usuario comprometido. Al mismo tiempo, la presencia en los sistemas recientemente vulnerados se asegura mediante la adición de tareas programadas y nuevas claves de registro de Windows.
Enlaces a ransomware
Mandiant destaca un vínculo entre los TTP de APT42 y la actividad de ransomware usando BitLocker, reportada en noviembre de 2021 por Microsoft .
“En una campaña observada, PHOSPHORUS apuntó a Fortinet FortiOS SSL VPN y desparcheó los servidores de Exchange locales a nivel mundial con la intención de implementar ransomware en redes vulnerables”.
Informe de Microsoft .
Si bien Microsoft nombró al grupo de amenazas ‘Phosphorus’ en su informe, Mandiant ahora dice que hay suficiente evidencia técnica y OSINT para vincular los ataques con APT42, junto con APT35.
Finalmente, Mandiant ha evaluado con confianza moderada que APT42 y APT35 son identificadores del IRGC (Cuerpo de la Guardia Revolucionaria Islámica), que Estados Unidos designa como una organización terrorista.
Acciones futuras
La actividad de APT42 representa una amenaza para los funcionarios de política exterior, comentaristas y periodistas, particularmente aquellos en los Estados Unidos, el Reino Unido e Israel, que trabajan en proyectos relacionados con Irán. Además, la actividad de vigilancia del grupo destaca el riesgo del mundo real para los objetivos individuales de las operaciones APT42. Estas incluyen ciudadanos iraníes con doble nacionalidad, exfuncionarios del gobierno y disidentes tanto dentro de Irán como aquellos que abandonaron el país anteriormente, a menudo por temor a su seguridad personal.
No anticipamos cambios significativos en las tácticas operativas y el mandato de APT42 dada la larga historia de actividad e impermeabilidad a los derribos de infraestructura y la atención de los medios sobre las fallas de seguridad operativa. Sin embargo, el grupo ha demostrado su capacidad para alterar rápidamente su enfoque operativo a medida que las prioridades de Irán cambian con el tiempo con la evolución de las condiciones nacionales y geopolíticas.