L’APT ITG18 iraniano prende di mira i riformisti all’interno del Paese

··1 min read
Dario Fadda

Il gruppo iraniano APT IGT18 è di nuovo nelle notizie con circa 120 GB di dati rubati. Secondo i ricercatori dell’IBM, questo gruppo ha legami con Charming Kitten, Phosphorus e TA453. I ricercatori sono stati in grado di mettere a nudo diversi dettagli sulle operazioni del gruppo, incluso il nuovo malware.

Cosa c’è di nuovo?

In un rapporto dettagliato, i ricercatori di IBM Security X-Force hanno rivelato una serie di informazioni sui recenti obiettivi di IGT18.

  • Tra agosto 2020 e maggio 2021, il gruppo APT comprendeva diverse vittime associate al movimento riformista iraniano. 
  • I dati mirati includevano foto, elenchi di contatti, conversazioni e appartenenze a gruppi.
  • I dati rubati sono stati reinviati ai server C2 tramite account compromessi da piattaforme di social media sicure, più recentemente Telegram. 
  • Il gruppo ha esfiltrato circa 120 GB di dati da circa 20 individui, per lo più in linea con il movimento riformista iraniano.

Vettori di attacco e approfondimenti aggiuntivi

Secondo le fonti, i ricercatori sono riusciti ad accedere a una directory di file aperta utilizzata dalla banda. Ciò ha permesso loro di trovare diverse risorse, inclusi nuovi malware, dati esfiltrati dalle vittime e video di formazione.

  • Hanno usato un nuovo malware chiamato LittleLooter, una backdoor che prende di mira i dispositivi Android. Potrebbe rubare dati sulla posizione, cronologia del browser, cronologia delle chiamate, messaggi SMS e registrare audio e video.
  • Si ritiene inoltre che gli aggressori abbiano utilizzato trucchi di ingegneria sociale tramite chiamate personalizzate, chat e videoconferenze.
  • I ricercatori sono stati in grado di monitorare circa 60 server che ospitano oltre 100 domini di phishing.
See also

Inoltre, la scoperta di video di formazione indica che il gruppo APT è seriamente intenzionato a impartire competenze ad altri membri e, possibilmente, a reclutare nuovi membri.

Conclusione

Durante il suo attacco, ITG18 è stato osservato utilizzare diverse attività che richiedono intensi sforzi manuali, come chiamate personalizzate, canti e videoconferenze per attirare le sue vittime. Gli esperti sono fiduciosi che il gruppo continuerà a lavorare per raggiungere il suo scopo anche dopo aver reso pubbliche le sue attività a causa della sua vasta gamma di obiettivi e traguardi.

Dario Fadda
IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.
Related
Previous
Gli attacchi #ransomware #LockBit aumentano, avverte ACSC
Next
Le comunità Salesforce potrebbero esporre informazioni sensibili alle aziende

News cybersecurity, malware, ransomware, and data security

Contacts

For any information/reporting, editorial, you may contact us by all the social channels listed and via e-mail to: info@spcnet.it

Secure channel for Whistlerblowers