APT42 műveleteinek felgöngyölítése
Az APT42, egy iráni államilag által támogatott kiberkémkedő szereplő továbbfejlesztett pszichológiai megtévesztési (social engineering) sémákat használ az áldozathálózatokhoz való hozzáférés megszerzésére. Az APT42 nyugati és közel-keleti nem kormányzati szervezeteket, médiaszervezeteket, akadémiai szervezeteket, jogi szolgáltatásokat és aktivistákat vesz célba. A Mandiant értékelése szerint az APT42 az Iszlám Forradalmi Gárda hírszerző szervezet (IRGC-IO) nevében működik.
Megfigyelték, hogy az APT42 újságíróknak és rendezvényszervezőknek adta ki magát, hogy folyamatos levelezéssel bizalmat építsen ki áldozataival, és konferenciákra szóló meghívókat vagy legitim dokumentumokat kézbesítsen. Ezek a social engineering sémák lehetővé tették az APT42 számára, hogy hitelesítő adatokat gyűjtsön, és azok segítségével kezdeti hozzáférést szerezzen a felhőkörnyezetekhez. Ezt követően a fenyegető szereplő titokban kiszivárogtatta az Irán számára stratégiai jelentőségű adatokat, miközben a beépített funkciókra és nyílt forráskódú eszközökre támaszkodva elkerülte a felderítést.
A felhőalapú műveletek mellett a Mandiant ismerteti a közelmúltban végrehajtott, két egyedi hátsó ajtót használó, rosszindulatú szoftvereken alapuló APT42-műveleteket is: NICECURL és TAMECAT. Ezeket a backdoorokat spear phishingen keresztül juttatják el a támadókhoz, és olyan kezdeti hozzáférést biztosítanak, amelyet parancsvégrehajtási felületként vagy ugrópontként használhatnak további rosszindulatú szoftverek telepítéséhez.
Az APT42 célpontjai és küldetései összhangban vannak az IRGC-IO-hoz való becsült kötődésével, amely az iráni hírszerző apparátus része, amely az iráni országot fenyegető külföldi fenyegetések megfigyeléséért és megelőzéséért felelős.
Az APT42 csoport fenyegetéselemzők más néven is azonosítják így CALANQUE (Google Threat Analysis Group), Charming Kitten (ClearSky és CERTFA), Mint Sandstorm/Phosphorus (Microsoft), TA453 (Proofpoint), Yellow Garuda (PwC) és ITG18 (IBM X-Force).