研究人员发现新的伊朗黑客组织APT42

近期，外媒网站报道，研究人员发现了另一个由国家支持的伊朗威胁组织APT42，其活动至少可追溯到7年前。威胁情报公司Mandiant称，目前已发现至少 30 名 APT42 的受害者。APT42 活动对外交政策官员、评论员和记者构成威胁，特别是那些在美国、英国和以色列从事与伊朗相关项目的人。

Mandiant表示，鉴于该组织的“高操作节奏”以及由于其针对个人电子邮件帐户而导致研究人员的可见性差距，肯定不只 30 名 APT42 的受害者，受害者的数字可能比这个要高得多。

关于APT42

APT42 主要专注于网络间谍活动，使用高度针对性的鱼叉式网络钓鱼和社会工程技术来访问个人和公司电子邮件帐户，或在移动设备上安装 Android 恶意软件。该组织还能够收集双因素身份验证代码以绕过更安全的身份验证方法，并且有时会利用这种访问权限来危害最初受害者的雇主、同事和亲属。

根据 APT42 的目标模式，Mandiant 认为它代表伊斯兰革命卫队情报组织 (IRGC-IO) 运作。APT42 针对政府官员、政策制定者、记者、全球学者和伊朗持不同政见者展开长期鱼叉式网络钓鱼活动。也就是说，APT42 活动对外交政策官员、评论员和记者构成威胁，特别是那些在美国、英国和以色列从事与伊朗相关项目的人。

APT42黑客的目标是窃取用户凭据，虽然凭证盗窃受到青睐，但该组织还部署了几个自定义后门和轻量级工具来实现其目标。

APT42 和另一个伊朗关系威胁参与者 UNC2448 之间的“入侵活动集群”也有交集。众所周知，它可以扫描漏洞，甚至部署 BitLocker 勒索软件。虽然没有观察到APT42 和 UNC2448 之间的技术重叠，但后者也可能与 IRGC-IO 有联系。

Mandiant 表示，他们基于开源信息和威胁行为者的操作安全漏洞，以适度的信心评估 UNC2448 和复仇者电报角色由至少两家伊朗前线公司 Najee Technology 和 Afkar System 运营。

APT攻击带来的影响

对于国家和企业而言，网络攻击是一个巨大的网络安全威胁，APT攻击已经随着互联网渗透到社会的各个角落。当我们的网络遭受到APT攻击后，会带来很多影响。比如：

1、黑客会对攻击目标发生带有木马病毒的钓鱼邮件、文件，打开后，黑客就可以监控受害者，监控的内容包括短信、通话、视频等。

2、黑客可利用漏洞发起APT攻击，进而窃取数据。

3、黑客进行APT攻击后，会开出高额赎金进行勒索。此外，企业组织的网络系统可能会被APT攻击摧毁，导致无法访问，造成损失。