APT34

APT34 (Advanced Persistent Threat) е базирана в Иран хакерска група, известна още като OilRig, Helix Kitten и Greenbug. Експертите по злонамерен софтуер смятат, че хакерската група APT34 е спонсорирана от иранското правителство и се използва за насърчаване на иранските интереси в световен мащаб. Хакерската група APT34 беше забелязана за първи път през 2014 г. Тази спонсорирана от държавата хакерска група има тенденция да се насочва към чужди корпорации и институции в енергийната, финансовата, химическата и отбранителната индустрия.

Оперира в Близкия изток

Дейността на APT34 е съсредоточена главно в района на Близкия изток. Често хакерските групи ще използват известни експлойти в остарял софтуер. Въпреки това, APT34 предпочита да разпространява своите заплахи, използвайки техники за социално инженерство. Групата е известна с използването на рядко срещани техники - например, използвайки DNS протокола за установяване на комуникационен канал между заразения хост и контролния сървър. Те също така разчитат редовно на самостоятелно направени инструменти за хакване, вместо да изберат да използват публични такива.

Задната врата на Tonedeaf

В една от последните си кампании APT34 е насочена към служители в енергийния сектор, както и към лица, работещи в чуждестранни правителства. APT34 изгради фалшива социална мрежа и след това се представи като представител на университета в Кеймбридж, който търси да наеме персонал. Те дори са стигнали до генерирането на фалшив профил в LinkedIn, който има за цел да убеди потребителя на компютър в легитимността на предложението за работа. APT34 ще изпрати на целевата жертва съобщение, което ще съдържа файл, наречен 'ERFT-Details.xls', носещ полезния товар на зловредния софтуер. Изпуснатият злонамерен софтуер се нарича задна врата Tonedeaf и при изпълнение ще се свърже незабавно към C&C (Command & Control) сървър на атакуващите. Това се постига чрез POST и HTTP GET заявки. Зловредният софтуер Tonedeaf е в състояние да:

• Качване на файлове.
• Изтегляне на файлове.
• Съберете информация за компрометираната система.
• Изпълнете команди на обвивката.

Освен основните си възможности, бекдорът Tonedeaf служи като шлюз за APT34, за да засади повече зловреден софтуер на заразения хост.

Групата със сигурност не е доволна от контрола само върху една от системите на компрометираната организация. Те бяха забелязани да използват инструменти за събиране на пароли за редовен достъп до идентификационни данни за вход и след това се опитват да ги използват, за да проникнат в други системи, открити в същата фирмена мрежа.

APT34 е склонен да използва хакерски инструменти, които са разработили главно, но понякога използват и публично достъпни инструменти в своите кампании.