APT34
APT34 (Advanced Persistent Threat) е базирана в Иран хакерска група, известна още като OilRig, Helix Kitten и Greenbug. Експертите по злонамерен софтуер смятат, че хакерската група APT34 е спонсорирана от иранското правителство и се използва за насърчаване на иранските интереси в световен мащаб. Хакерската група APT34 беше забелязана за първи път през 2014 г. Тази спонсорирана от държавата хакерска група има тенденция да се насочва към чужди корпорации и институции в енергийната, финансовата, химическата и отбранителната индустрия.
Оперира в Близкия изток
Дейността на APT34 е съсредоточена главно в района на Близкия изток. Често хакерските групи ще използват известни експлойти в остарял софтуер. Въпреки това, APT34 предпочита да разпространява своите заплахи, използвайки техники за социално инженерство. Групата е известна с използването на рядко срещани техники - например, използвайки DNS протокола за установяване на комуникационен канал между заразения хост и контролния сървър. Те също така разчитат редовно на самостоятелно направени инструменти за хакване, вместо да изберат да използват публични такива.
Задната врата на Tonedeaf
В една от последните си кампании APT34 е насочена към служители в енергийния сектор, както и към лица, работещи в чуждестранни правителства. APT34 изгради фалшива социална мрежа и след това се представи като представител на университета в Кеймбридж, който търси да наеме персонал. Те дори са стигнали до генерирането на фалшив профил в LinkedIn, който има за цел да убеди потребителя на компютър в легитимността на предложението за работа. APT34 ще изпрати на целевата жертва съобщение, което ще съдържа файл, наречен 'ERFT-Details.xls', носещ полезния товар на зловредния софтуер. Изпуснатият злонамерен софтуер се нарича задна врата Tonedeaf и при изпълнение ще се свърже незабавно към C&C (Command & Control) сървър на атакуващите. Това се постига чрез POST и HTTP GET заявки. Зловредният софтуер Tonedeaf е в състояние да:
- Качване на файлове.
- Изтегляне на файлове.
- Съберете информация за компрометираната система.
- Изпълнете команди на обвивката.
Освен основните си възможности, бекдорът Tonedeaf служи като шлюз за APT34, за да засади повече зловреден софтуер на заразения хост.
Групата със сигурност не е доволна от контрола само върху една от системите на компрометираната организация. Те бяха забелязани да използват инструменти за събиране на пароли за редовен достъп до идентификационни данни за вход и след това се опитват да ги използват, за да проникнат в други системи, открити в същата фирмена мрежа.
APT34 е склонен да използва хакерски инструменти, които са разработили главно, но понякога използват и публично достъпни инструменти в своите кампании.