APT42
APT42 ist eine vom iranischen Staat gesponserte Cyberspionagegruppe, die seit mindestens 2015 aktiv ist und dafür bekannt ist, Einzelpersonen und Organisationen weltweit durch Spearphishing, mobile Überwachung und Diebstahl von Zugangsdaten anzugreifen.
Der Ursprung von APT42
APT42 ist eine vom iranischen Staat geförderte Cyberspionagegruppe, die seit mindestens 2015 aktiv ist. Ihre Hauptaufgabe besteht darin, im Auftrag des Korps der Islamischen Revolutionsgarden Irans (IRGC) nachrichtendienstliche Operationen durchzuführen, wobei sie sich auf die Überwachung von Personen und Einrichtungen von strategischem Interesse konzentriert. Obwohl die Operationen von APT42 von einigen Anbietern mit "Magic Hound" in Verbindung gebracht werden, werden die beiden Gruppen aufgrund von Unterschieden im Verhalten und in der Software als verschieden betrachtet. APT42 ist bekannt für den Einsatz maßgeschneiderter Spearphishing-Kampagnen, mobiler malware und einer Infrastruktur zum Sammeln von Zugangsdaten, um langfristige Spionageaktivitäten zu unterstützen.
Länder, die im Visier der APT42 stehen
APT42 operiert nicht nur im Nahen Osten, sondern auch in den Vereinigten Staaten, dem Vereinigten Königreich, Israel, Irak, Saudi-Arabien, Deutschland, Australien, Albanien und im Iran selbst. Die Aktivitäten der Gruppe spiegeln eine strategische Ausrichtung sowohl auf ausländische Gegner als auch auf interne Dissidenten wider.
Von APT42 anvisierte Branchen
APT42 zielt auf ein breites Spektrum von Sektoren ab, darunter akademische Einrichtungen, Öl und Gas, Verteidigungsunternehmen, nationale Militärorganisationen, Nichtregierungsorganisationen, Denkfabriken, Finanzdienstleistungen, Regierungsbehörden, der Technologiesektor, die Medien, die Luft- und Raumfahrt, das Gesundheitswesen, die Energiewirtschaft und die Pharmaindustrie. Ihr Schwerpunkt liegt im Allgemeinen auf den geopolitischen und nachrichtendienstlichen Prioritäten des Iran.
Die Opfer der APT42
Zu den Opfern gehören häufig Regierungsbeamte, Journalisten, Menschenrechtsaktivisten, Akademiker und politische Dissidenten. APT42 entwickelt oft maßgeschneiderte Köder, die sich in phishing als Journalisten oder seriöse Institutionen ausgeben. Zu den Operationen gehören der Diebstahl von Anmeldeinformationen aus Microsoft 365-Umgebungen und die Überwachung von Mobilgeräten mit malware wie PINEFLOWER.
Die Angriffsmethode von APT42
APT42 beginnt seine Angriffe mit Spearphishing-E-Mails, die bösartige Links enthalten, oder sendet malware wie PINEFLOWER an mobile Ziele. Diese E-Mails geben sich oft als bekannte Kontakte oder seriöse Institutionen aus.
APT42 verwendet PowerShell-Skripte (z. B. POWERPOST), um die Privilegien zu erweitern und auf sensible Kontoinformationen zuzugreifen.
Sie nutzen Änderungen an der Registrierung, Anti-Forensik-Techniken wie das Löschen von Protokollen und Browserverläufen sowie maskierte Nutzdaten (wie VINETHORN als VPN-Software), um eine Entdeckung zu vermeiden.
APT42 stiehlt Anmeldedaten durch Extraktion des Webbrowsers, Keylogging und Abfangen von MFA-Tokens (Multi-Factor-Authentication) über gefälschte Anmeldeseiten.
Die Gruppe verwendet Windows Management Instrumentation (WMI) und malware (GHAMBAR, POWERPOST), um Sicherheitssoftware, Systemkonfigurationen und Netzwerkeinstellungen zu untersuchen.
Während die Einzelheiten der lateralen Bewegung weniger detailliert sind, implizieren der Erwerb von Infrastrukturen und die Einrichtung von Kommando- und Kontrollstrukturen Bemühungen, sich innerhalb der Netze zu bewegen, sobald der Zugang hergestellt ist.
APT42 sammelt System-Screenshots, Browser-Sitzungs-Cookies, Microsoft 365-Dokumente und Keylogs und konzentriert sich dabei auf politisch oder strategisch sensibles Material.
Die Gruppe führt Skripte und malware mithilfe von PowerShell, VBScript, geplanten Aufgaben und bösartigen Weblinks aus.
Die Datenexfiltration erfolgt über verschlüsselte HTTPS-Kanäle mit Tools wie NICECURL. Sie verwenden auch Base64-Kodierung und anonymisierte Infrastruktur, um den Datenverkehr zu verschleiern.
Die Operationen von APT42 konzentrieren sich eher auf die langfristige Sammlung von Informationen als auf Störung oder Sabotage. Ihr Einfluss liegt in der Überwachung, dem Datendiebstahl und dem Sammeln von geopolitischen Informationen.
APT42 beginnt seine Angriffe mit Spearphishing-E-Mails, die bösartige Links enthalten, oder sendet malware wie PINEFLOWER an mobile Ziele. Diese E-Mails geben sich oft als bekannte Kontakte oder seriöse Institutionen aus.
APT42 verwendet PowerShell-Skripte (z. B. POWERPOST), um die Privilegien zu erweitern und auf sensible Kontoinformationen zuzugreifen.
Sie nutzen Änderungen an der Registrierung, Anti-Forensik-Techniken wie das Löschen von Protokollen und Browserverläufen sowie maskierte Nutzdaten (wie VINETHORN als VPN-Software), um eine Entdeckung zu vermeiden.
APT42 stiehlt Anmeldedaten durch Extraktion des Webbrowsers, Keylogging und Abfangen von MFA-Tokens (Multi-Factor-Authentication) über gefälschte Anmeldeseiten.
Die Gruppe verwendet Windows Management Instrumentation (WMI) und malware (GHAMBAR, POWERPOST), um Sicherheitssoftware, Systemkonfigurationen und Netzwerkeinstellungen zu untersuchen.
Während die Einzelheiten der lateralen Bewegung weniger detailliert sind, implizieren der Erwerb von Infrastrukturen und die Einrichtung von Kommando- und Kontrollstrukturen Bemühungen, sich innerhalb der Netze zu bewegen, sobald der Zugang hergestellt ist.
APT42 sammelt System-Screenshots, Browser-Sitzungs-Cookies, Microsoft 365-Dokumente und Keylogs und konzentriert sich dabei auf politisch oder strategisch sensibles Material.
Die Gruppe führt Skripte und malware mithilfe von PowerShell, VBScript, geplanten Aufgaben und bösartigen Weblinks aus.
Die Datenexfiltration erfolgt über verschlüsselte HTTPS-Kanäle mit Tools wie NICECURL. Sie verwenden auch Base64-Kodierung und anonymisierte Infrastruktur, um den Datenverkehr zu verschleiern.
Die Operationen von APT42 konzentrieren sich eher auf die langfristige Sammlung von Informationen als auf Störung oder Sabotage. Ihr Einfluss liegt in der Überwachung, dem Datendiebstahl und dem Sammeln von geopolitischen Informationen.
Von APT42 verwendete TTPs
Wie man APT42 mit Vectra AI erkennt
Häufig gestellte Fragen
Wer sponsert APT42?
Es wird vermutet, dass APT42 von der iranischen Regierung, insbesondere dem Korps der Islamischen Revolutionsgarden (IRGC), gesponsert wird.
Wodurch unterscheidet sich APT42 von Magic Hound?
Obwohl es Überschneidungen bei malware und Verhalten gibt, werden sie aufgrund von Unterschieden in Bezug auf Zielsetzung, Tools und Techniken getrennt verfolgt.
Wie verschafft sich APT42 den ersten Zugang?
Sie nutzen Spearphishing-E-Mails mit bösartigen Links oder malware , um Geräte zu kompromittieren und Anmeldedaten zu stehlen.
Welche malware verwendet APT42?
Zu den gängigen malware gehören PINEFLOWER (Android), POWERPOST, GHAMBAR und VINETHORN (getarnt als VPN-Anwendungen).
Wie können sie sich auf infizierten Systemen halten?
APT42 nutzt Änderungen an der Registrierung, geplante Aufgaben und malware .
Verwenden sie gestohlene Anmeldedaten für cloud ?
Ja, APT42 zielt speziell auf Microsoft 365-Umgebungen ab und sammelt Dokumente und Sitzungstoken.
Wie vermeiden sie eine Entdeckung?
Sie verwenden verschlüsselten HTTPS-Verkehr (NICECURL), tarnen ihre Tools und löschen forensische Spuren wie den Browserverlauf.
Welche Erkennungstechniken sind gegen APT42 wirksam?
Verhaltensüberwachung (z. B. Skriptausführung über PowerShell/VBScript), DNS- und TLS-Datenverkehrsprüfung und MFA-Token-Analyse können dazu beitragen, APT42-Aktivitäten zu erkennen.
Ist APT42 zerstörerisch?
Nein, APT42 konzentriert sich hauptsächlich auf Spionage, Informationsbeschaffung und Überwachung. Sie setzt normalerweise keine ransomware oder Wiper ein.
Wie können sich Unternehmen vor APT42 schützen?
Implementieren Sie eine phishing MFA, überwachen Sie anormale Microsoft 365-Aktivitäten, schränken Sie die PowerShell-Nutzung ein, und setzen Sie NDR-Lösungen ein, die skriptbasierte Angriffe und Keylogging-Aktivitäten erkennen können.