Das IT-Sicherheitsunternehmen Mandiant hat einen umfassenden Bericht über die Cyberaktivitäten eines mutmaßlich staatlich gesteuerten iranischen Cyberakteurs mit der Bezeichnung APT 42 veröffentlicht. Dieser beschreibt eine Social-Engineering-Kampagne, die sich gegen westliche Nichtregierungsorganisationen, Medienanstalten, juristische Institutionen, akademische Einrichtungen und Aktivisten richtet. Die Ziele dieser Angriffskampagne liegen im strategischen Interesse des iranischen Staates.
Die Angreifer gaben sich hierbei als Journalisten oder Veranstaltungsorganisatoren aus, um mit ihren Opfern in Kontakt zu treten. Im weiteren Verlauf der Kommunikation wurden thematisch passende Spear-Phishing-Links versendet, die das Opfer zur Eingabe persönlicher Login-Daten verleiten sollten. Hierzu wurden gefälschte, authentisch wirkende Anmeldeseiten u.a. von Google Meet, LinkedIn und Microsoft erstellt. Bei Eingabe der Anmeldedaten wurden diese an den Angreifer übermittelt, der sich so unter Anderem Zugang zu Cloud-Umgebungen verschaffen konnte. Anschließend wurden Daten exfiltriert.
Neben dem Versand von Spear-Phishing-E-Mails, die auf das Ausspähen von Login-Daten abzielen, beschreibt der Bericht auch die jüngsten Malware-basierten Aktivitäten des Cyberakteurs. In diesem Zusammenhang hat Mandiant beobachtet, wie der Angreifer die zwei Backdoors TAMECAT und NICECURL verwendet, um sich Zugang zu Opfersystemen zu verschaffen. Diese werden wahrscheinlich ebenfalls über Spear-Phishing-E-Mails verbreitet.
Die von Mandiant beschriebene Vorgehensweise sowie das Aufklärungsinteresse des Akteurs decken sich mit Erkenntnissen der Cyberabwehr des Landesamtes für Verfassungsschutz. Der Bericht stellt Indicators of Compromise (IOCs) zu dieser Angriffskampagne zur Verfügung. Die Cyberabwehr empfiehlt daher, Systeme anhand der bereitgestellten IOCs zu überprüfen und verdächtige Aktivitäten den Sicherheitsbehörden zu melden.