伊朗國家支持的 APT42 駭客組織以政府、非政府組織和政府間組織為目標，取得憑證

在網路安全領域，保持警覺至關重要。 Google Cloud 的 Mandiant 最近披露的資訊揭露了 APT42 的邪惡活動，APT42 是一個國家支持的網路間諜組織，據信代表伊朗伊斯蘭革命衛隊 (IRGC) 開展活動。 APT42 的歷史至少可以追溯到 2015 年，它已成為一個重大威脅，針對包括非政府組織、政府機構和政府間組織在內的廣泛實體。

APT42 以 Calanque 和 UNC788 等各種別名進行操作，其作案手法非常複雜。該組織利用社會工程策略，冒充記者和活動組織者滲透其目標網絡。透過利用這些欺騙性策略，APT42 贏得了毫無戒心的受害者的信任，使他們能夠獲得有價值的憑據以進行未經授權的訪問。

APT42 方法的特點之一是利用多個後門來促進其惡意活動。 Mandiant 的報告強調了在最近的攻擊中部署了兩個新的後門。這些秘密工具使 APT42 能夠滲透雲端環境、洩漏敏感資料並利用開源工具和內建功能逃避偵測。

Mandiant 的分析進一步揭示了 APT42 在其營運中使用的複雜基礎設施。該組織精心策劃了廣泛的憑證收集活動，將其目標分為三個不同的類別。從偽裝成媒體組織到冒充合法服務，APT42 採用各種策略來引誘受害者洩露其登入憑證。

此外，APT42 的活動超出了傳統的網路間諜活動範圍。該組織已表現出調整其策略的意願，其部署 Nicecurl 和 Tamecat 等自訂後門就證明了這一點。這些工具分別以 VBScript 和 PowerShell 編寫，使 APT42 能夠執行任意命令並從受感染的系統中提取敏感資訊。

儘管存在地緣政治緊張局勢和地區衝突，APT42 仍然堅定不移地追求情報收集。 Mandiant 的調查結果突顯了該組織的韌性和持久性，因為該組織繼續針對與美國、以色列等地敏感地緣政治問題相關的實體。此外，APT42 的活動與其他伊朗駭客組織（例如 Charming Kitten）的活動重疊，凸顯了伊朗網路行動的協調性和多面向性。

面對此類威脅，主動的網路安全措施勢在必行。組織必須保持警惕，採用強大的安全協議並隨時了解網路防禦的最新發展。透過加強協作和資訊共享，國際社會可以更好地應對 APT42 等組織所構成的不斷變化的威脅情況。

最終，Mandiant 提供的啟示清醒地提醒人們網路威脅的持久性和普遍性。隨著科技不斷進步，我們的防禦也必須如此。只有透過集體行動和堅定不移的努力，我們才有希望減輕 APT42 等國家支持的網路間諜組織所帶來的風險。