APT42

APT42 ist eine vom iranischen Staat gesponserte Cyberspionagegruppe, die seit mindestens 2015 aktiv ist und dafür bekannt ist, Einzelpersonen und Organisationen weltweit durch Spearphishing, mobile Überwachung und Diebstahl von Zugangsdaten anzugreifen.

Ist Ihr Unternehmen vor den Angriffen von APT42 sicher?

Der Ursprung von APT42

APT42 ist eine vom iranischen Staat geförderte Cyberspionagegruppe, die seit mindestens 2015 aktiv ist. Ihre Hauptaufgabe besteht darin, im Auftrag des Korps der Islamischen Revolutionsgarden Irans (IRGC) nachrichtendienstliche Operationen durchzuführen, wobei sie sich auf die Überwachung von Personen und Einrichtungen von strategischem Interesse konzentriert. Obwohl die Operationen von APT42 von einigen Anbietern mit "Magic Hound" in Verbindung gebracht werden, werden die beiden Gruppen aufgrund von Unterschieden im Verhalten und in der Software als verschieden betrachtet. APT42 ist bekannt für den Einsatz maßgeschneiderter Spearphishing-Kampagnen, mobiler malware und einer Infrastruktur zum Sammeln von Zugangsdaten, um langfristige Spionageaktivitäten zu unterstützen.

Länder, die im Visier der APT42 stehen

APT42 operiert nicht nur im Nahen Osten, sondern auch in den Vereinigten Staaten, dem Vereinigten Königreich, Israel, Irak, Saudi-Arabien, Deutschland, Australien, Albanien und im Iran selbst. Die Aktivitäten der Gruppe spiegeln eine strategische Ausrichtung sowohl auf ausländische Gegner als auch auf interne Dissidenten wider.

Von APT42 anvisierte Branchen

APT42 zielt auf ein breites Spektrum von Sektoren ab, darunter akademische Einrichtungen, Öl und Gas, Verteidigungsunternehmen, nationale Militärorganisationen, Nichtregierungsorganisationen, Denkfabriken, Finanzdienstleistungen, Regierungsbehörden, der Technologiesektor, die Medien, die Luft- und Raumfahrt, das Gesundheitswesen, die Energiewirtschaft und die Pharmaindustrie. Ihr Schwerpunkt liegt im Allgemeinen auf den geopolitischen und nachrichtendienstlichen Prioritäten des Iran.

Die Opfer der APT42

Zu den Opfern gehören häufig Regierungsbeamte, Journalisten, Menschenrechtsaktivisten, Akademiker und politische Dissidenten. APT42 entwickelt oft maßgeschneiderte Köder, die sich in phishing als Journalisten oder seriöse Institutionen ausgeben. Zu den Operationen gehören der Diebstahl von Anmeldeinformationen aus Microsoft 365-Umgebungen und die Überwachung von Mobilgeräten mit malware wie PINEFLOWER.

Angriffsmethode

Die Angriffsmethode von APT42

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

APT42 beginnt seine Angriffe mit Spearphishing-E-Mails, die bösartige Links enthalten, oder sendet malware wie PINEFLOWER an mobile Ziele. Diese E-Mails geben sich oft als bekannte Kontakte oder seriöse Institutionen aus.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

APT42 verwendet PowerShell-Skripte (z. B. POWERPOST), um die Privilegien zu erweitern und auf sensible Kontoinformationen zuzugreifen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Sie nutzen Änderungen an der Registrierung, Anti-Forensik-Techniken wie das Löschen von Protokollen und Browserverläufen sowie maskierte Nutzdaten (wie VINETHORN als VPN-Software), um eine Entdeckung zu vermeiden.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

APT42 stiehlt Anmeldedaten durch Extraktion des Webbrowsers, Keylogging und Abfangen von MFA-Tokens (Multi-Factor-Authentication) über gefälschte Anmeldeseiten.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Die Gruppe verwendet Windows Management Instrumentation (WMI) und malware (GHAMBAR, POWERPOST), um Sicherheitssoftware, Systemkonfigurationen und Netzwerkeinstellungen zu untersuchen.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Während die Einzelheiten der lateralen Bewegung weniger detailliert sind, implizieren der Erwerb von Infrastrukturen und die Einrichtung von Kommando- und Kontrollstrukturen Bemühungen, sich innerhalb der Netze zu bewegen, sobald der Zugang hergestellt ist.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

APT42 sammelt System-Screenshots, Browser-Sitzungs-Cookies, Microsoft 365-Dokumente und Keylogs und konzentriert sich dabei auf politisch oder strategisch sensibles Material.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Die Gruppe führt Skripte und malware mithilfe von PowerShell, VBScript, geplanten Aufgaben und bösartigen Weblinks aus.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Die Datenexfiltration erfolgt über verschlüsselte HTTPS-Kanäle mit Tools wie NICECURL. Sie verwenden auch Base64-Kodierung und anonymisierte Infrastruktur, um den Datenverkehr zu verschleiern.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Die Operationen von APT42 konzentrieren sich eher auf die langfristige Sammlung von Informationen als auf Störung oder Sabotage. Ihr Einfluss liegt in der Überwachung, dem Datendiebstahl und dem Sammeln von geopolitischen Informationen.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

APT42 beginnt seine Angriffe mit Spearphishing-E-Mails, die bösartige Links enthalten, oder sendet malware wie PINEFLOWER an mobile Ziele. Diese E-Mails geben sich oft als bekannte Kontakte oder seriöse Institutionen aus.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

APT42 verwendet PowerShell-Skripte (z. B. POWERPOST), um die Privilegien zu erweitern und auf sensible Kontoinformationen zuzugreifen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Sie nutzen Änderungen an der Registrierung, Anti-Forensik-Techniken wie das Löschen von Protokollen und Browserverläufen sowie maskierte Nutzdaten (wie VINETHORN als VPN-Software), um eine Entdeckung zu vermeiden.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

APT42 stiehlt Anmeldedaten durch Extraktion des Webbrowsers, Keylogging und Abfangen von MFA-Tokens (Multi-Factor-Authentication) über gefälschte Anmeldeseiten.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Die Gruppe verwendet Windows Management Instrumentation (WMI) und malware (GHAMBAR, POWERPOST), um Sicherheitssoftware, Systemkonfigurationen und Netzwerkeinstellungen zu untersuchen.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Während die Einzelheiten der lateralen Bewegung weniger detailliert sind, implizieren der Erwerb von Infrastrukturen und die Einrichtung von Kommando- und Kontrollstrukturen Bemühungen, sich innerhalb der Netze zu bewegen, sobald der Zugang hergestellt ist.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

APT42 sammelt System-Screenshots, Browser-Sitzungs-Cookies, Microsoft 365-Dokumente und Keylogs und konzentriert sich dabei auf politisch oder strategisch sensibles Material.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Die Gruppe führt Skripte und malware mithilfe von PowerShell, VBScript, geplanten Aufgaben und bösartigen Weblinks aus.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Die Datenexfiltration erfolgt über verschlüsselte HTTPS-Kanäle mit Tools wie NICECURL. Sie verwenden auch Base64-Kodierung und anonymisierte Infrastruktur, um den Datenverkehr zu verschleiern.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Die Operationen von APT42 konzentrieren sich eher auf die langfristige Sammlung von Informationen als auf Störung oder Sabotage. Ihr Einfluss liegt in der Überwachung, dem Datendiebstahl und dem Sammeln von geopolitischen Informationen.

MITRE ATT&CK Kartierung

Von APT42 verwendete TTPs

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1656
Impersonation
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1539
Steal Web Session Cookie
T1555
Credentials from Password Stores
T1111
Multi-Factor Authentication Interception
T1056
Input Capture
TA0007: Discovery
T1518
Software Discovery
T1087
Account Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1530
Data from Cloud Storage
T1113
Screen Capture
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1132
Data Encoding
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.

Häufig gestellte Fragen

Wer sponsert APT42?

Wodurch unterscheidet sich APT42 von Magic Hound?

Wie verschafft sich APT42 den ersten Zugang?

Welche malware verwendet APT42?

Wie können sie sich auf infizierten Systemen halten?

Verwenden sie gestohlene Anmeldedaten für cloud ?

Wie vermeiden sie eine Entdeckung?

Welche Erkennungstechniken sind gegen APT42 wirksam?

Ist APT42 zerstörerisch?

Wie können sich Unternehmen vor APT42 schützen?