حذرت قوقل مؤخرًا من أن جهة تجسس إلكترونية إيرانية ترعاها الدولة تم تعقبها باسم APT42 ، تستخدم مخططات هندسة اجتماعية محسنة للوصول إلى شبكات الضحايا، بما في ذلك البيئات السحابية، عبر إرسال روابط يؤدي النقر عليها إلى توجيه الأهداف إلى صفحات تسجيل دخول مزيفة تحاكي خدمات معروفة مثل حساب قوقل Google ومايكروسوفت Microsoft أو حتى منصات متخصصة ذات صلة بمجال عمل الضحية، كـ يوتيوب، قوقل ميت.

يستهدف الممثل المنظمات غير الحكومية الغربية والشرق أوسطية والمؤسسات الإعلامية والأوساط الأكاديمية والخدمات القانونية والناشطين. ويقدر مانديانت أن APT42 تعمل نيابة عن منظمة استخبارات الحرس الثوري الإسلامي (IRGC-IO).

تمت ملاحظة APT42 وهم يتظاهرون بأنهم صحفيون ومنظمو أحداث لبناء الثقة مع ضحاياهم من خلال المراسلات المستمرة، وتسليم دعوات إلى مؤتمرات أو وثائق شرعية. مكنت مخططات الهندسة الاجتماعية هذه APT42 من جمع بيانات الاعتماد واستخدامها للوصول الأولي إلى البيئات السحابية. وفي وقت لاحق، قام ممثل التهديد بتسريب البيانات ذات الأهمية الاستراتيجية لإيران سرًا، مع الاعتماد على الميزات المضمنة والأدوات مفتوحة المصدر لتجنب اكتشافها.

بالإضافة إلى العمليات السحابية، تُحدد أيضًا عمليات APT42 المستندة إلى البرامج الضارة مؤخرًا باستخدام بابين خلفيين مخصصين: NICECURL وTAMECAT. يتم تسليم هذه الأبواب الخلفية عبر التصيد الاحتيالي، مما يوفر للمهاجمين إمكانية الوصول الأولي التي يمكن استخدامها كواجهة لتنفيذ الأوامر أو كنقطة انطلاق لنشر برامج ضارة إضافية .

وحدد مانديانت Mandiant  ثلاث مجموعات على الأقل من البنية التحتية التي تستخدمها APT42 للحصول على بيانات الاعتماد من أهداف في قطاعات السياسة والحكومة والمنظمات الإعلامية والصحفيين والمنظمات غير الحكومية والناشطين. تستخدم المجموعات الثلاث تكتيكات وتقنيات وإجراءات (TTPs) متشابهة لاستهداف بيانات اعتماد الضحايا (رسائل البريد الإلكتروني للتصيد الاحتيالي)، ولكنها تستخدم نطاقات وأنماط متخفية وأفخاخ وموضوعات متنوعة قليلاً.

المجموعة أ: التظاهر كمنافذ إخبارية ومنظمات غير حكومية
الاستهداف المشتبه به: أوراق اعتماد الصحفيين والباحثين والكيانات الجيوسياسية في المناطق ذات الأهمية لإيران.
تنتحل هوية: واشنطن بوست (الولايات المتحدة)، والإيكونوميست (المملكة المتحدة)، وجيروزاليم بوست (إلينيوم)، وخليج تايمز (الإمارات العربية المتحدة)، وأزادليك (أذربيجان)، والمزيد من وسائل الإعلام والمنظمات غير الحكومية. يتضمن هذا غالبًا استخدام النطاقات المطبعية مثلwashin q tonpost[.]press. ولم يلاحظ مانديانت Mandiant أن APT42 تستهدف هذه المنظمات أو تعرضها للخطر، بل تنتحل شخصيتها.
ناقل الهجوم: من المحتمل أن يتم إرسال الروابط الضارة من النطاقات التي تحتوي على أخطاء مطبعية والتي تتنكر في شكل مقالات إخبارية عبر التصيد الاحتيالي، مما يعيد توجيه المستخدم إلى صفحات تسجيل دخول Google المزيفة.

المجموعة ب: التظاهر كخدمات مشروعة

الاستهداف: الأفراد الذين يُنظر إليهم على أنهم يشكلون تهديدًا للنظام الإيراني، بما في ذلك الباحثين والصحفيين وقادة المنظمات غير الحكومية ونشطاء حقوق الإنسان.

التنكر على النحو التالي: صفحات تسجيل الدخول العامة، وخدمات استضافة الملفات، ويوتيوب YouTube. تستخدم النطاقات TLDs مثل .top و.online و.site و.live، وغالبًا ما تحتوي على عدة كلمات مفصولة بواصلات، مثل Panel-live-check[.]online.

ناقل الهجوم: الروابط الشرعية المرسلة عبر التصيد الاحتيالي، والتي تظهر كدعوات لحضور مؤتمرات أو مستندات شرعية مستضافة على البنية التحتية السحابية. عند الدخول، يُطلب من المستخدم إدخال بيانات الاعتماد الخاصة به، والتي يتم إرسالها إلى المهاجمين.