APT42

APT42, en az 2015'ten beri aktif olan ve dünya çapındaki bireyleri ve kuruluşları hedef alan kimlik avı, mobil gözetim ve kimlik bilgisi hırsızlığı ile bilinen İran devlet destekli bir siber casusluk grubudur.

Kuruluşunuz APT42'nin Saldırılarına Karşı Güvende mi?

APT42'nin kökeni

APT42, en az 2015 yılından beri aktif olan İran devlet destekli bir siber casusluk grubudur. Öncelikle İran Devrim Muhafızları Ordusu (IRGC) adına istihbarat toplama operasyonları yürütmekle görevlendirilmiş olup stratejik çıkarları olan kişi ve kuruluşların gözetlenmesine odaklanmaktadır. APT42'nin operasyonları bazı tedarikçiler tarafından "Magic Hound" ile ilişkilendirilmiş olsa da, iki grubun davranışsal ve yazılımsal farklılıklara dayalı olarak farklı olduğu düşünülmektedir. APT42, uzun vadeli casusluk çabalarını desteklemek için özel olarak tasarlanmış spearphishing kampanyaları, mobil gözetim malware ve kimlik bilgisi toplama altyapısı kullanmasıyla bilinmektedir.

APT42 tarafından hedef alınan ülkeler

APT42'nin operasyonları Orta Doğu'nun ötesine uzanmakta ve ABD, Birleşik Krallık, İsrail, Irak, Suudi Arabistan, Almanya, Avustralya, Arnavutluk ve İran'daki kurumları hedef almaktadır. Grubun faaliyetleri hem yabancı düşmanlara hem de içerideki muhalif nüfuslara stratejik bir odaklanmayı yansıtmaktadır.

APT42 tarafından hedeflenen sektörler

APT42, akademik kurumlar, petrol ve gaz, savunma müteahhitleri, ulusal askeri kuruluşlar, STK'lar, düşünce kuruluşları, finansal hizmetler, devlet kurumları, teknoloji sektörü, medya, havacılık, sağlık, enerji ve ilaç endüstrileri dahil olmak üzere geniş bir sektör yelpazesini hedeflemektedir. Odak noktaları genellikle İran'ın jeopolitik ve iç istihbarat öncelikleriyle uyumludur.

APT42'nin kurbanları

Kurban profilleri arasında sıklıkla hükümet yetkilileri, gazeteciler, insan hakları aktivistleri, akademisyenler ve siyasi muhalifler yer almaktadır. APT42 genellikle phishing e-postalarında gazetecileri veya meşru kurumları taklit eden özel tuzaklar hazırlar. Operasyonlar arasında Microsoft 365 ortamlarından kimlik bilgilerinin çalınması ve PINEFLOWER gibi Android malware kullanılarak mobil cihazların izlenmesi de yer almaktadır.

Saldırı Yöntemi

APT42'nin saldırı yöntemi

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

APT42 saldırılarına kötü niyetli bağlantılar içeren spearphishing e-postalarıyla başlar veya mobil hedeflere PINEFLOWER gibi Android kötü amaçlı malware gönderir. Bu e-postalar genellikle bilinen kişileri veya saygın kurumları taklit eder.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

APT42, ayrıcalıkları yükseltmek ve hassas hesap bilgilerine erişmek için PowerShell komut dosyalarını (ör. POWERPOST) kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Tespit edilmekten kaçınmak için kayıt defteri değişiklikleri, günlükleri ve tarayıcı geçmişini temizleme gibi anti adli teknikler ve maskeli yükler (VPN yazılımı olarak VINETHORN gibi) kullanırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

APT42, web tarayıcısı ayıklama, tuş kaydı ve sahte oturum açma sayfaları kullanarak çok faktörlü kimlik doğrulama (MFA) belirteçlerini ele geçirme yoluyla kimlik bilgilerini çalar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Grup, güvenlik yazılımlarını, sistem yapılandırmalarını ve ağ ayarlarını incelemek için Windows Yönetim Araçlarını (WMI) ve malware yazılım araçlarını (GHAMBAR, POWERPOST) kullanır.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Yanal hareketin ayrıntıları daha az ayrıntılı olsa da, altyapı edinimi ve komuta ve kontrol kurulumu, erişim sağlandıktan sonra ağlar içinde dönme çabalarını ima eder.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

APT42 sistem ekran görüntülerini, tarayıcı oturum çerezlerini, Microsoft 365 belgelerini ve tuş kayıtlarını toplayarak siyasi veya stratejik açıdan hassas materyallere odaklanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Grup PowerShell, VBScript, zamanlanmış görevler ve kötü amaçlı web bağlantılarını kullanarak komut dosyaları ve kötü amaçlı malware yürütür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veri sızıntısı, NICECURL gibi araçlar kullanılarak şifrelenmiş HTTPS kanalları üzerinden gerçekleştirilir. Ayrıca trafiği gizlemek için Base64 kodlaması ve anonimleştirilmiş altyapı kullanırlar.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

APT42'nin operasyonları kesinti ya da sabotajdan ziyade uzun vadeli istihbarat toplamaya odaklanmıştır. Etkileri gözetleme, veri hırsızlığı ve jeopolitik istihbarat toplamada yatmaktadır.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

APT42 saldırılarına kötü niyetli bağlantılar içeren spearphishing e-postalarıyla başlar veya mobil hedeflere PINEFLOWER gibi Android kötü amaçlı malware gönderir. Bu e-postalar genellikle bilinen kişileri veya saygın kurumları taklit eder.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

APT42, ayrıcalıkları yükseltmek ve hassas hesap bilgilerine erişmek için PowerShell komut dosyalarını (ör. POWERPOST) kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Tespit edilmekten kaçınmak için kayıt defteri değişiklikleri, günlükleri ve tarayıcı geçmişini temizleme gibi anti adli teknikler ve maskeli yükler (VPN yazılımı olarak VINETHORN gibi) kullanırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

APT42, web tarayıcısı ayıklama, tuş kaydı ve sahte oturum açma sayfaları kullanarak çok faktörlü kimlik doğrulama (MFA) belirteçlerini ele geçirme yoluyla kimlik bilgilerini çalar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Grup, güvenlik yazılımlarını, sistem yapılandırmalarını ve ağ ayarlarını incelemek için Windows Yönetim Araçlarını (WMI) ve malware yazılım araçlarını (GHAMBAR, POWERPOST) kullanır.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Yanal hareketin ayrıntıları daha az ayrıntılı olsa da, altyapı edinimi ve komuta ve kontrol kurulumu, erişim sağlandıktan sonra ağlar içinde dönme çabalarını ima eder.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

APT42 sistem ekran görüntülerini, tarayıcı oturum çerezlerini, Microsoft 365 belgelerini ve tuş kayıtlarını toplayarak siyasi veya stratejik açıdan hassas materyallere odaklanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Grup PowerShell, VBScript, zamanlanmış görevler ve kötü amaçlı web bağlantılarını kullanarak komut dosyaları ve kötü amaçlı malware yürütür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veri sızıntısı, NICECURL gibi araçlar kullanılarak şifrelenmiş HTTPS kanalları üzerinden gerçekleştirilir. Ayrıca trafiği gizlemek için Base64 kodlaması ve anonimleştirilmiş altyapı kullanırlar.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

APT42'nin operasyonları kesinti ya da sabotajdan ziyade uzun vadeli istihbarat toplamaya odaklanmıştır. Etkileri gözetleme, veri hırsızlığı ve jeopolitik istihbarat toplamada yatmaktadır.

MITRE ATT&CK Haritalama

APT42 tarafından kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1656
Impersonation
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1539
Steal Web Session Cookie
T1555
Credentials from Password Stores
T1111
Multi-Factor Authentication Interception
T1056
Input Capture
TA0007: Discovery
T1518
Software Discovery
T1087
Account Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1530
Data from Cloud Storage
T1113
Screen Capture
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1132
Data Encoding
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.

Sıkça Sorulan Sorular

APT42'ye kim sponsor oluyor?

APT42'yi Magic Hound'dan farklı kılan nedir?

APT42 ilk erişimi nasıl elde ediyor?

APT42 hangi malware kullanıyor?

Virüs bulaşmış sistemlerde kalıcılıklarını nasıl koruyorlar?

Bulut platformları için çalıntı kimlik bilgileri kullanıyorlar mı?

Tespit edilmekten nasıl kaçınıyorlar?

APT42'ye karşı hangi tespit teknikleri etkilidir?

APT42 yıkıcı mı?

Kurumlar APT42'ye karşı nasıl savunma yapabilir?