News

Campanha de ciberespionagem apoiada pelo estado do Irão continua a imitar meios de comunicação

O cibergrupo APT42 patrocinado pelo estado do Irão está a fazer-se passar por grandes meios de comunicação para atacar jornalistas

07/05/2024

Campanha de ciberespionagem apoiada pelo estado do Irão continua a imitar meios de comunicação

O cibergrupo conhecido como APT42 começou uma campanha em 2021, que ainda continua, onde se faz passar pelo The Washington Post, o The Economist e o The Jerusalem Post para poderem obter credenciais de qualquer pessoa que carregasse em ligações que direcionam para sites falsos. “Os métodos implementados pelo APT42 deixa uma pequena marca e poderão fazer com que a deteção das suas atividades seja mais desafiante para os defensores das redes”, lê-se no relatório da Mandiant.

Nas suas operações, o grupo usa typosquatting, ou adquirem sites que parecem reais, mas tem uma pequena alteração ou erro, para criar links maliciosos que redirecionam utilizadores para páginas falsas do login da Google, de acordo com o relatório.

Em 2023, os atacantes alegadamente imitaram um membro sénior de um think tank do Reino Unido, o Royal United Services Institute, enquanto tentavam espalhar malware junto de um especialista de segurança nuclear baseado num think tank dos Estados Unidos que se foca em assuntos internacionais. No novo relatório da Mandiant, foram analisadas as técnicas de engenharia social que o APT42 usa para ganhar acesso às redes das vitímas, incluindo aos ambientes cloud.

O grupo também já se fez passar por organizações dos Estados Unidos de investigação, que inclui o Aspen Institute e o Washington Institute, segundo a Mandiant. Os investigadores não viram a APT42 a atacar ou a comprometer as instituições. Os cibercriminosos também se fizeram passar por jornalistas e organizadores de eventos para criarem confiança com as vítimas através de correspondência recorrente, onde enviavam convites para conferências.

Entre 2022 e 2023, a Mandiant observou a APT42 a extrair documentos e informação sensível através de clouds públicas das vítimas, como o ambiente Microsoft 365. Os serviços legais de companhias britânicas e americanas foram o alvo principal destes ataques. Os investigadores dizem que o grupo de cibercriminosos sobrepõe-se com outras operações que têm ligação ao estado iraniano.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº18 Junho 2024

IT SECURITY Nº18 Junho 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.