News
O cibergrupo APT42 patrocinado pelo estado do Irão está a fazer-se passar por grandes meios de comunicação para atacar jornalistas
07/05/2024
|
O cibergrupo conhecido como APT42 começou uma campanha em 2021, que ainda continua, onde se faz passar pelo The Washington Post, o The Economist e o The Jerusalem Post para poderem obter credenciais de qualquer pessoa que carregasse em ligações que direcionam para sites falsos. “Os métodos implementados pelo APT42 deixa uma pequena marca e poderão fazer com que a deteção das suas atividades seja mais desafiante para os defensores das redes”, lê-se no relatório da Mandiant. Nas suas operações, o grupo usa typosquatting, ou adquirem sites que parecem reais, mas tem uma pequena alteração ou erro, para criar links maliciosos que redirecionam utilizadores para páginas falsas do login da Google, de acordo com o relatório. Em 2023, os atacantes alegadamente imitaram um membro sénior de um think tank do Reino Unido, o Royal United Services Institute, enquanto tentavam espalhar malware junto de um especialista de segurança nuclear baseado num think tank dos Estados Unidos que se foca em assuntos internacionais. No novo relatório da Mandiant, foram analisadas as técnicas de engenharia social que o APT42 usa para ganhar acesso às redes das vitímas, incluindo aos ambientes cloud. O grupo também já se fez passar por organizações dos Estados Unidos de investigação, que inclui o Aspen Institute e o Washington Institute, segundo a Mandiant. Os investigadores não viram a APT42 a atacar ou a comprometer as instituições. Os cibercriminosos também se fizeram passar por jornalistas e organizadores de eventos para criarem confiança com as vítimas através de correspondência recorrente, onde enviavam convites para conferências. Entre 2022 e 2023, a Mandiant observou a APT42 a extrair documentos e informação sensível através de clouds públicas das vítimas, como o ambiente Microsoft 365. Os serviços legais de companhias britânicas e americanas foram o alvo principal destes ataques. Os investigadores dizem que o grupo de cibercriminosos sobrepõe-se com outras operações que têm ligação ao estado iraniano. |
Receba todas as novidades na sua caixa de correio!
THREATS
Mais de mil servidores da GitLab afetados por vulnerabilidade explorada
THREATS
Nova técnica permite espiar tráfego de VPN
NEWS
Google lança novos produtos de segurança
THREATS
Microsoft alerta para exploração de vulnerabilidades zero-day e lança correções
NEWS
BEI aprova atualização das regras sobre o financiamento na indústria de segurança e defesa
NEWS
BEI aprova atualização das regras sobre o financiamento na indústria de segurança e defesa
NEWS
China suspeita de atacar sistema de pagamento do exército britânico
NEWS
EUA divulgam estratégia internacional para o ciberespaço
NEWS
Identificado alegado criador e administrador do grupo LockBit
NEWS
Google lança novos produtos de segurança
