El grupo de hackers iraní APT42 ha intensificado sus tácticas de ingeniería social para infiltrarse en redes y entornos en la nube. Según un informe publicado por Mandiant, subsidiaria de Google Cloud, el grupo ha estado haciéndose pasar por periodistas y organizadores de eventos para ganarse la confianza de sus víctimas y obtener acceso a sus credenciales.
Estrategias de Ingeniería Social
APT42 se centra en atacar a organizaciones y personas en Occidente y Medio Oriente, incluyendo ONG, medios de comunicación, instituciones académicas, servicios legales y activistas. Para lograr sus objetivos, el grupo lleva a cabo extensas campañas de phishing que incluyen correspondencia continua, invitaciones a conferencias y otros documentos aparentemente legítimos.
Objetivos y Tácticas
El informe de Mandiant señala que APT42 es una subdivisión de APT35, ambos relacionados con la Guardia Revolucionaria Islámica de Irán. Mientras que APT35 se dedica a operaciones a largo plazo y con alta carga de malware, APT42 apunta a individuos y organizaciones de interés estratégico para Irán, con un enfoque en temas de política doméstica, política exterior y estabilidad del régimen.
Eludir la Autenticación Multifactor
Una de las técnicas más preocupantes utilizadas por APT42 es la capacidad de eludir la autenticación multifactor (MFA). El grupo lo logra mediante el envío de páginas de inicio de sesión clonadas para capturar tokens MFA, o con notificaciones push falsas que, si son aceptadas por la víctima, permiten acceso no autorizado a las cuentas.
uso de la herramientas y Backdoors Personalizados
Para reducir su huella y evitar la detección, APT42 emplea herramientas públicas y técnicas como la exfiltración de datos a cuentas de OneDrive que imitan a las de la víctima, además de usar infraestructuras de VPN para anonimizar su actividad. También se ha identificado el uso de dos backdoors principales:
NICECURL (BASICSTAR): Un backdoor escrito en VBScript capaz de descargar módulos adicionales para la ejecución de comandos arbitrarios.
TAMECAT: Un componente basado en PowerShell que permite ejecutar scripts personalizados para mantener el acceso a los sistemas comprometidos.
Conclusiones
APT42 demuestra un enfoque sofisticado para sus operaciones de ciberespionaje, utilizando métodos de ingeniería social para infiltrarse en sistemas de alta seguridad y obtener datos de interés para el gobierno iraní. Sus técnicas avanzadas y el uso de herramientas públicas hacen que la detección y mitigación sean especialmente desafiantes.
Las organizaciones y empresas deben mantenerse alertas ante estas amenazas y reforzar sus medidas de seguridad para evitar ser víctimas de estos ataques cada vez más sofisticados.