APT34

APT34

APT34 (التهديد المستمر المتقدم) هي مجموعة قرصنة مقرها إيران تُعرف أيضًا باسم OilRig و Helix Kitten و Greenbug. يعتقد خبراء البرمجيات الخبيثة أن مجموعة القرصنة APT34 ترعاها الحكومة الإيرانية وتستخدم لتعزيز المصالح الإيرانية على مستوى العالم. تم اكتشاف مجموعة القرصنة APT34 لأول مرة في عام 2014. تميل مجموعة القرصنة هذه التي ترعاها الدولة إلى استهداف الشركات والمؤسسات الأجنبية في مجالات الطاقة والتمويل والكيمياء والدفاع.

تعمل في الشرق الأوسط

يتركز نشاط APT34 بشكل أساسي في منطقة الشرق الأوسط. في كثير من الأحيان ، تستغل مجموعات القرصنة الثغرات المعروفة في البرامج القديمة. ومع ذلك ، يفضل APT34 نشر تهديداته باستخدام تقنيات الهندسة الاجتماعية. تشتهر المجموعة باستخدامها لتقنيات نادرًا ما يتم رؤيتها - على سبيل المثال ، استخدام بروتوكول DNS لإنشاء قناة اتصال بين المضيف المصاب وخادم التحكم. كما يعتمدون أيضًا على أدوات القرصنة الذاتية الصنع بانتظام ، بدلاً من اختيار استخدام الأدوات العامة.

الباب الخلفي Tonedeaf

في إحدى حملاتها الأخيرة ، تستهدف APT34 الموظفين في قطاع الطاقة وكذلك الأفراد العاملين في الحكومات الأجنبية. قام APT34 ببناء شبكة اجتماعية مزيفة ثم تم تصويره كممثل لجامعة كامبريدج التي تتطلع إلى تعيين موظفين. لقد ذهبوا إلى حد إنشاء ملف تعريف LinkedIn مزيف ، والذي يهدف إلى إقناع مستخدم الكمبيوتر بشرعية عرض العمل. يرسل APT34 إلى الضحية المستهدفة رسالة تحتوي على ملف يسمى "ERFT-Details.xls" يحمل حمولة البرنامج الضار. يُطلق على البرامج الضارة التي تم إسقاطها اسم Tonedeaf الخلفي ، وعند التنفيذ ، سيتم الاتصال بخادم C&C (الأوامر والتحكم) للمهاجمين على الفور. يتم تحقيق ذلك عبر طلبات POST و HTTP GET. برنامج Tonedeaf الضار قادر على:

  • تحميل الملفات.
  • تحميل ملفات.
  • جمع المعلومات حول النظام المخترق.
  • نفذ أوامر الصدف.

بصرف النظر عن إمكانياته الرئيسية ، يعمل الباب الخلفي Tonedeaf كبوابة لـ APT34 لزرع المزيد من البرامج الضارة على المضيف المصاب.

من المؤكد أن المجموعة ليست سعيدة بالسيطرة على واحد فقط من أنظمة المنظمة المعرضة للخطر. شوهدوا يستخدمون أدوات جمع كلمات المرور للوصول إلى بيانات اعتماد تسجيل الدخول بانتظام ثم حاولوا استخدامها للتسلل إلى الأنظمة الأخرى الموجودة على نفس شبكة الشركة.

يميل APT34 إلى استخدام أدوات القرصنة التي طوروها بشكل أساسي ، ولكن في بعض الأحيان يستخدمون الأدوات المتاحة للجمهور في حملاتهم أيضًا.

الشائع

جار التحميل...