Поддерживаемые государством иранские хакеры распространяли вредоносное ПО через ссылки на поддельные VPN-приложения

Находчивая иранская группа хакеров, поддерживаемая государством, использует вредоносные ссылки на VPN-приложения, отправленные с помощью SMS-сообщений, для внедрения шпионского ПО. , сообщает фирма по кибербезопасности.

Mandiant обнаружил доказательства того, что APT42 (расширенная постоянная угроза) проводит такие атаки против тех, кого они называют «врагами иранского государства», с 2015 года с целью сбора конфиденциальных данных и слежки за жертвами.

Они также заявляют с «умеренной уверенностью», что группировка связана с разведкой Корпуса стражей исламской революции (КСИР-ИО), которую Вашингтон называет террористической организацией.

Это вредоносное ПО распространяется не только за репутацией некоторых из лучших VPN сервисов. Хорошо продуманные фишинговые электронные письма, вредоносные веб-страницы и бесплатные приложения для обмена сообщениями также использовались сайты только для взрослых.

Мобильное вредоносное ПО может представлять серьезные риски в реальном мире

Как Mandiant отчеты: «Использование вредоносного ПО для Android, нацеленного на лиц, представляющих интерес для правительства Ирана. предоставляет APT42 продуктивный метод получения конфиденциальной информации о целях, включая перемещение, контакты и личную информацию.

«Подтвержденная способность группы записывать телефонные звонки, активировать микрофон и записывать звук, извлекать изображения и делать снимки по команде, читать SMS-сообщения и отслеживать местоположение жертвы по GPS в режиме реального времени представляет собой реальную -мировой риск для отдельных жертв этой кампании».

На данный момент исследователи наблюдали за более чем 30 подтвержденными операциями в 14 странах мира за семь лет его деятельности. Однако они считают, что общее число намного больше.

Западные аналитические центры, исследователи, журналисты, нынешние западные правительственные чиновники, бывшие иранские правительственные чиновники, диссиденты и иранская диаспора за рубежом — все они были среди жертв таких нападений.

Операции по сбору данных и наблюдению

Кампании APT42 преследуют две основные цели: собрать цели' конфиденциальные данные, такие как личные учетные данные электронной почты, коды многофакторной аутентификации и записи личных сообщений, при отслеживании жертв&aa; данные о местоположении для проведения крупных операций по наблюдению.  

Хитрый план группы завоевывает доверие целей, участвуя в разговоре, который может длиться даже несколько недель, прежде чем, наконец, будет отправлено фишинговое письмо. В одном случае хакеры выдавали себя за журналистов известного американского СМИ в течение 37 дней, прежде чем начать атаку.

Что касается мобильного вредоносного ПО, APT42 успешно атаковал интернет-пользователей, которые искали обходные инструменты для обхода строгих правительственных ограничений. И, учитывая, что более 80% иранцев используют такое программное обеспечение, чтобы избежать онлайн-цензуры. , граждане' безопасность, кажется, никогда не была так поставлена ​​на карту.

В отчете Mandiant также указывалось, как группа, которая, как считается, также была связана с печально известной APT35, которой в прошлом году удалось внедрить в Play Маркет поддельные VPN-приложения – быстро формирует свои стратегии и цели, соответствующие внутренним и геополитическим интересам Ирана.

«Мы с высокой уверенностью оцениваем, что APT42 продолжит выполнять операции по кибершпионажу и наблюдению в соответствии с растущими требованиями Ирана по сбору оперативной разведывательной информации».