กลุ่มแฮ็กเกอร์กลุ่มใหม่ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่านชื่อ APT42 ถูกพบว่ามีการใช้มัลแวร์บน Android ที่ถูกสร้างขึ้นเพื่อโจมตีเป้าหมายที่ต้องการ

บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางอินเทอร์เน็ต ได้รวบรวมหลักฐานเพียงพอที่จะระบุได้ว่า APT42 เป็นกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งมีส่วนเกี่ยวข้องในการสอดแนมทางอินเทอร์เน็ตต่อบุคคล และองค์กรที่รัฐบาลอิหร่านให้ความสนใจเป็นพิเศษ

APT42 ถูกพบครั้งแรกเมื่อ 7 ปีที่แล้ว และเกี่ยวข้องกับแคมเปญ spear-phishing ที่มุ่งเป้าไปที่เจ้าหน้าที่ของรัฐ ผู้กำหนดนโยบาย นักข่าว นักวิชาการทั่วโลก และผู้คัดค้านชาวอิหร่าน

เป้าหมายของแฮ็กเกอร์คือการขโมยข้อมูลบัญชี ในหลายกรณีกลุ่มแฮ็กเกอร์ยังติดตั้งมัลแวร์บน Android ที่สามารถติดตามการเข้าถึงอุปกรณ์ จัดเก็บ และดึงข้อมูลการสื่อสารของเหยื่อได้

เป้าหมายของแคมเปญ

จากข้อมูลของ Mandiant ผู้ค้นพบ APT42 พบว่ากลุ่ม APT42 ได้ปฏิบัติการมาแล้วอย่างน้อย 30 ครั้งใน 14 ประเทศตั้งแต่ปี 2558 ซึ่งอาจเป็นข้อมูลเพียงบางส่วนเท่านั้น

กลุ่ม APT42 เปลี่ยนเป้าหมายหลายครั้งเพื่อให้ตรงกับความสนใจในการรวบรวมข่าวกรองที่เปลี่ยนแปลงไป ตัวอย่างเช่น ในปี 2563 ใช้อีเมลฟิชชิงที่แอบอ้างเป็นผู้เชี่ยวชาญวัคซีนของมหาวิทยาลัยอ็อกซ์ฟอร์ดเพื่อกำหนดเป้าหมายเป็นบริษัทเภสัชภัณฑ์จากต่างประเทศ

ในปี 2564 APT42 ใช้ที่อยู่อีเมลขององค์กรสื่อของสหรัฐฯ ที่ถูกแฮ็ก เพื่อกำหนดเป้าหมายเหยื่อด้วยคำขอสัมภาษณ์ปลอม ๆ โดยทำการติดต่อกับพวกเขาเป็นเวลานานกว่า 37 วันก่อนที่จะโจมตีด้วยการหลอกเอาข้อมูล

ไม่นานมานี้ ในเดือนกุมภาพันธ์ พ.ศ. 2565 แฮ็กเกอร์ได้ปลอมเป็นสำนักข่าวของอังกฤษมีเป้าหมายเป็นอาจารย์ด้านรัฐศาสตร์ในเบลเยียม และสหรัฐอาหรับเอมิเรตส์

ในกรณีส่วนใหญ่ แฮ็กเกอร์จะมุ่งเป้าไปที่การเก็บรวบรวมข้อมูลประจำตัว โดยหลอกเหยื่อไปยังหน้าฟิชชิ่งที่ดูเหมือนเป็น login portals ที่ถูกต้อง ด้วยการส่งลิงก์ที่ถูกย่อให้สั้นลง หรือไฟล์แนบ PDF ที่นำไปสู่หน้าที่ให้กรอกข้อมูลประจำตัว รวมไปถึงเก็บข้อมูล MFA ได้ด้วย

Android malware

มัลแวร์บนอุปกรณ์ Android ที่ใช้ในแคมเปญของกลุ่ม APT42 จะช่วยให้ผู้โจมตีติดตามเป้าหมายได้อย่างใกล้ชิด ขโมยข้อมูลการโทร SMS และแอบบันทึกเสียง

Mandiant ระบุว่า “สปายแวร์บน Android นั้นแพร่กระจายไปยังเป้าหมายที่เป็นชาวอิหร่านเป็นหลัก ผ่านทางข้อความ SMS ที่มีลิงก์ไปยังแอพส่งข้อความหรือ VPN ที่สามารถช่วยหลีกเลี่ยงข้อจำกัดที่รัฐบาลกำหนด”

Mandiant ระบุในรายงานว่า “มัลแวร์ Android โจมตีบุคคลที่รัฐบาลอิหร่านให้ความสนใจและใช้วิธีการที่มีประสิทธิภาพ เพื่อให้ได้ข้อมูลที่สำคัญเกี่ยวกับเป้าหมาย รวมทั้งข้อมูลบนโทรศัพท์มือถือ รายชื่อผู้ติดต่อ และข้อมูลส่วนบุคคล”

Mandiant ยังรายงานการค้นพบแลนดิ้งเพจสำหรับการดาวน์โหลดแอป IM เป็นภาษาอาหรับ ดังนั้น ผู้โจมตีอาจติดตั้งมัลแวร์ Android นอกประเทศอิหร่านได้ด้วย

มัลแวร์ยังมีความสามารถในการบันทึกการใช้งานโทรศัพท์ เปิดไมโครโฟน และบันทึกภาพ และถ่ายภาพตามคำสั่ง อ่านข้อความ และติดตามตำแหน่ง GPS ของเหยื่อแบบ real time

ที่มา : bleepingcomputer