Google宣布破坏了由伊朗相关APT42组织实施的黑客活动

Google宣布，已经中断了一场由伊朗相关组织APT42（Calanque、UNC788）实施的黑客活动，这些黑客活动目标是美国选举相关个人的个人电子邮件账户。APT42主要使用精准的钓鱼邮件和社会工程技术，该组织的操作主要包括：收集认证信息、监控活动和恶意软件部署。微软已经追踪这些黑客活动至少自2013年，但专家认为这个黑客组织可能已经存在至少自2011年。

在五月和六月，国-state黑客攻击了美国前政府官员和前总统拜登和前总统特朗普的选举活动相关个人的电子邮件账户。Google宣布，已经检测和阻止了多次试图登录目标个人的个人电子邮件账户的尝试。“在当前美国总统选举周期中，TAG检测和中断了APT42的Cluster C认证钓鱼活动。在五月和六月，APT42的目标包括约十二个与拜登和特朗普相关的个人电子邮件账户，包括美国政府当前和前官员，以及相关的选举活动。”Google发布的报告中这样写道。

一些公开报告证实，APT42已经成功地入侵了多个电子邮件服务商的账户。Google TAG专家报道，APT42组织已经成功地获取了高级政治顾问的个人Gmail账户。最近，特朗普总统的选举活动宣布被黑客攻击，一个发言人将攻击归因于对美国不友好的外国来源。选举活动认为，伊朗相关的黑客可能参与了旨在窃取和散布敏感文件的黑客活动。但是，目前还没有提供具体证据。

媒体机构POLITICO首先报道了黑客攻击，了解到安全漏洞后收到了匿名账户发送的来自特朗普的内部文件的电子邮件。选举活动引用了微软于周五发布的报告，该报告将伊朗黑客相关的钓鱼邮件发送给总统竞选活动的官员。报告中写道：“最近的活动表明，伊朗政府——可能与克里姆林宫——在2024年选举中参与了活动。”

APT42使用社会工程技术欺骗目标设置视频会议，然后将目标引导到钓鱼页面。黑客使用了假的Google Meet页面和诱骗性的OneDrive、Dropbox和Skype引文。在过去六个月中，Google已经成功地中断了APT42实施的超过50个活动使用Google Sites。黑客也使用合法的PDF文件来建立信任，最后将目标引导到信号或Telegram平台上，用于窃取认证信息。

APT42使用了多种钓鱼工具，包括GCollection、LCollection和YCollection等高级认证收集工具，这些工具旨在从Google、Hotmail和Yahoo用户收集登录信息。自2023年1月以来，这些工具已经不断更新以适应多因素身份验证、设备PIN和恢复代码等平台。 Toolkit还包括与其指标相符的landing page URL。DWP是浏览器在浏览器中的钓鱼工具，通常通过URL简化器传递，相比GCollection更不完整。

APT42的活动依赖于详细的侦察，以目标个人电子邮件账户的安全设置为基础，使用失败登录或恢复尝试了解身份验证因素，并根据需要更新钓鱼工具。这方面的攻击通常包括地理位置数据，以避免检测。APT42成功获取账户后，通常修改账户设置以加强控制，例如更改恢复电子邮件地址和应用程序专用密码。Google的Advanced Protection Program可以 mitigated 该问题。报告总结道：“APT42是一个复杂的、持久的威胁actor，他们不显示停止尝试目标用户和部署新策略的迹象。这春季和夏季，他们已经显示了在以色列和美国同时运行多个钓鱼活动的能力，随着伊朗和以色列之间的 hostilities加剧，我们可以预期APT42在这方面的活动将增加。”

原文始发于微信公众号（黑猫安全）：Google宣布破坏了由伊朗相关APT42组织实施的黑客活动