APT42
APT42, en az 2015'ten beri aktif olan ve dünya çapındaki bireyleri ve kuruluşları hedef alan kimlik avı, mobil gözetim ve kimlik bilgisi hırsızlığı ile bilinen İran devlet destekli bir siber casusluk grubudur.
APT42'nin kökeni
APT42, en az 2015 yılından beri aktif olan İran devlet destekli bir siber casusluk grubudur. Öncelikle İran Devrim Muhafızları Ordusu (IRGC) adına istihbarat toplama operasyonları yürütmekle görevlendirilmiş olup stratejik çıkarları olan kişi ve kuruluşların gözetlenmesine odaklanmaktadır. APT42'nin operasyonları bazı tedarikçiler tarafından "Magic Hound" ile ilişkilendirilmiş olsa da, iki grubun davranışsal ve yazılımsal farklılıklara dayalı olarak farklı olduğu düşünülmektedir. APT42, uzun vadeli casusluk çabalarını desteklemek için özel olarak tasarlanmış spearphishing kampanyaları, mobil gözetim malware ve kimlik bilgisi toplama altyapısı kullanmasıyla bilinmektedir.
APT42 tarafından hedef alınan ülkeler
APT42'nin operasyonları Orta Doğu'nun ötesine uzanmakta ve ABD, Birleşik Krallık, İsrail, Irak, Suudi Arabistan, Almanya, Avustralya, Arnavutluk ve İran'daki kurumları hedef almaktadır. Grubun faaliyetleri hem yabancı düşmanlara hem de içerideki muhalif nüfuslara stratejik bir odaklanmayı yansıtmaktadır.
APT42 tarafından hedeflenen sektörler
APT42, akademik kurumlar, petrol ve gaz, savunma müteahhitleri, ulusal askeri kuruluşlar, STK'lar, düşünce kuruluşları, finansal hizmetler, devlet kurumları, teknoloji sektörü, medya, havacılık, sağlık, enerji ve ilaç endüstrileri dahil olmak üzere geniş bir sektör yelpazesini hedeflemektedir. Odak noktaları genellikle İran'ın jeopolitik ve iç istihbarat öncelikleriyle uyumludur.
APT42'nin kurbanları
Kurban profilleri arasında sıklıkla hükümet yetkilileri, gazeteciler, insan hakları aktivistleri, akademisyenler ve siyasi muhalifler yer almaktadır. APT42 genellikle phishing e-postalarında gazetecileri veya meşru kurumları taklit eden özel tuzaklar hazırlar. Operasyonlar arasında Microsoft 365 ortamlarından kimlik bilgilerinin çalınması ve PINEFLOWER gibi Android malware kullanılarak mobil cihazların izlenmesi de yer almaktadır.
APT42'nin saldırı yöntemi
APT42 saldırılarına kötü niyetli bağlantılar içeren spearphishing e-postalarıyla başlar veya mobil hedeflere PINEFLOWER gibi Android kötü amaçlı malware gönderir. Bu e-postalar genellikle bilinen kişileri veya saygın kurumları taklit eder.
APT42, ayrıcalıkları yükseltmek ve hassas hesap bilgilerine erişmek için PowerShell komut dosyalarını (ör. POWERPOST) kullanır.
Tespit edilmekten kaçınmak için kayıt defteri değişiklikleri, günlükleri ve tarayıcı geçmişini temizleme gibi anti adli teknikler ve maskeli yükler (VPN yazılımı olarak VINETHORN gibi) kullanırlar.
APT42, web tarayıcısı ayıklama, tuş kaydı ve sahte oturum açma sayfaları kullanarak çok faktörlü kimlik doğrulama (MFA) belirteçlerini ele geçirme yoluyla kimlik bilgilerini çalar.
Grup, güvenlik yazılımlarını, sistem yapılandırmalarını ve ağ ayarlarını incelemek için Windows Yönetim Araçlarını (WMI) ve malware yazılım araçlarını (GHAMBAR, POWERPOST) kullanır.
Yanal hareketin ayrıntıları daha az ayrıntılı olsa da, altyapı edinimi ve komuta ve kontrol kurulumu, erişim sağlandıktan sonra ağlar içinde dönme çabalarını ima eder.
APT42 sistem ekran görüntülerini, tarayıcı oturum çerezlerini, Microsoft 365 belgelerini ve tuş kayıtlarını toplayarak siyasi veya stratejik açıdan hassas materyallere odaklanır.
Grup PowerShell, VBScript, zamanlanmış görevler ve kötü amaçlı web bağlantılarını kullanarak komut dosyaları ve kötü amaçlı malware yürütür.
Veri sızıntısı, NICECURL gibi araçlar kullanılarak şifrelenmiş HTTPS kanalları üzerinden gerçekleştirilir. Ayrıca trafiği gizlemek için Base64 kodlaması ve anonimleştirilmiş altyapı kullanırlar.
APT42'nin operasyonları kesinti ya da sabotajdan ziyade uzun vadeli istihbarat toplamaya odaklanmıştır. Etkileri gözetleme, veri hırsızlığı ve jeopolitik istihbarat toplamada yatmaktadır.
APT42 saldırılarına kötü niyetli bağlantılar içeren spearphishing e-postalarıyla başlar veya mobil hedeflere PINEFLOWER gibi Android kötü amaçlı malware gönderir. Bu e-postalar genellikle bilinen kişileri veya saygın kurumları taklit eder.
APT42, ayrıcalıkları yükseltmek ve hassas hesap bilgilerine erişmek için PowerShell komut dosyalarını (ör. POWERPOST) kullanır.
Tespit edilmekten kaçınmak için kayıt defteri değişiklikleri, günlükleri ve tarayıcı geçmişini temizleme gibi anti adli teknikler ve maskeli yükler (VPN yazılımı olarak VINETHORN gibi) kullanırlar.
APT42, web tarayıcısı ayıklama, tuş kaydı ve sahte oturum açma sayfaları kullanarak çok faktörlü kimlik doğrulama (MFA) belirteçlerini ele geçirme yoluyla kimlik bilgilerini çalar.
Grup, güvenlik yazılımlarını, sistem yapılandırmalarını ve ağ ayarlarını incelemek için Windows Yönetim Araçlarını (WMI) ve malware yazılım araçlarını (GHAMBAR, POWERPOST) kullanır.
Yanal hareketin ayrıntıları daha az ayrıntılı olsa da, altyapı edinimi ve komuta ve kontrol kurulumu, erişim sağlandıktan sonra ağlar içinde dönme çabalarını ima eder.
APT42 sistem ekran görüntülerini, tarayıcı oturum çerezlerini, Microsoft 365 belgelerini ve tuş kayıtlarını toplayarak siyasi veya stratejik açıdan hassas materyallere odaklanır.
Grup PowerShell, VBScript, zamanlanmış görevler ve kötü amaçlı web bağlantılarını kullanarak komut dosyaları ve kötü amaçlı malware yürütür.
Veri sızıntısı, NICECURL gibi araçlar kullanılarak şifrelenmiş HTTPS kanalları üzerinden gerçekleştirilir. Ayrıca trafiği gizlemek için Base64 kodlaması ve anonimleştirilmiş altyapı kullanırlar.
APT42'nin operasyonları kesinti ya da sabotajdan ziyade uzun vadeli istihbarat toplamaya odaklanmıştır. Etkileri gözetleme, veri hırsızlığı ve jeopolitik istihbarat toplamada yatmaktadır.
APT42 tarafından kullanılan TTP'ler
Vectra AI ile APT42 nasıl tespit edilir
Sıkça Sorulan Sorular
APT42'ye kim sponsor oluyor?
APT42'nin İran hükümeti, özellikle de İslam Devrim Muhafızları Ordusu (IRGC) tarafından desteklendiğine inanılmaktadır.
APT42'yi Magic Hound'dan farklı kılan nedir?
malware ve davranışlarda örtüşmeler olsa da, hedefleme, araçlar ve tekniklerdeki farklılıklara dayalı olarak ayrı ayrı izlenirler.
APT42 ilk erişimi nasıl elde ediyor?
Cihazları taviz ve kimlik bilgilerini çalmak için kötü amaçlı bağlantılar veya Android kötü amaçlı malware içeren spearphishing e-postalarına güvenirler.
APT42 hangi malware kullanıyor?
Yaygın malware arasında PINEFLOWER (Android), POWERPOST, GHAMBAR ve VINETHORN (VPN uygulamaları olarak gizlenmiş) bulunmaktadır.
Virüs bulaşmış sistemlerde kalıcılıklarını nasıl koruyorlar?
APT42 kayıt defteri değişikliklerini, zamanlanmış görevleri ve malware otomatik başlatma tekniklerini kullanır.
Bulut platformları için çalıntı kimlik bilgileri kullanıyorlar mı?
Evet, APT42 özellikle Microsoft 365 ortamlarını hedef alarak belgeleri ve oturum belirteçlerini toplar.
Tespit edilmekten nasıl kaçınıyorlar?
Şifrelenmiş HTTPS trafiği (NICECURL) kullanırlar, araçlarını maskelerler ve tarayıcı geçmişi gibi adli izleri temizlerler.
APT42'ye karşı hangi tespit teknikleri etkilidir?
Davranışsal izleme (örneğin, PowerShell/VBScript aracılığıyla komut dosyası yürütme), DNS ve TLS trafik denetimi ve MFA belirteci analizi APT42 etkinliğini tespit etmeye yardımcı olabilir.
APT42 yıkıcı mı?
Hayır, APT42 öncelikle casusluk, bilgi toplama ve gözetlemeye odaklanır. Genellikle fidye yazılımı veya silici dağıtmaz.
Kurumlar APT42'ye karşı nasıl savunma yapabilir?
phishing MFA uygulayın, anormal Microsoft 365 etkinliklerini izleyin, PowerShell kullanımını kısıtlayın ve komut dosyası tabanlı saldırıları ve keylogging etkinliğini algılayabilen NDR çözümleri dağıtın.