APT34

APT34 Description

L'APT34 (Amenaça persistent avançada) és un grup de pirateria amb seu a l'Iran que també es coneix com a OilRig, Helix Kitten i Greenbug. Els experts en programari maliciós creuen que el grup de pirateria APT34 està patrocinat pel govern iranià i s'utilitza per promoure els interessos iranians a nivell mundial. El grup de pirateria APT34 es va detectar per primera vegada l'any 2014. Aquest grup de pirateria patrocinat per l'estat tendeix a apuntar-se a corporacions i institucions estrangeres de les indústries energètica, financera, química i de defensa.

Opera a l'Orient Mitjà

L'activitat de l'APT34 es concentra principalment a la regió de l'Orient Mitjà. Sovint, els grups de pirateria explotarien exploits coneguts en programari obsolet. Tanmateix, l'APT34 prefereix propagar les seves amenaces mitjançant tècniques d'enginyeria social. El grup és conegut pel seu ús de tècniques poc vistes, per exemple, l'ús del protocol DNS per establir un canal de comunicació entre l'amfitrió infectat i el servidor de control. També es basen en eines de pirateria fetes per elles mateixes amb regularitat, en lloc d'optar per utilitzar-ne de públiques.

La porta del darrere de Tonedeaf

En una de les seves últimes campanyes, l'APT34 es dirigeix als empleats del sector energètic, així com a persones que treballen en governs estrangers. L'APT34 va crear una xarxa social falsa i després es va fer passar com a representant de la Universitat de Cambridge que busca contractar personal. Fins i tot han arribat a generar un perfil de LinkedIn fals, que pretén convèncer l'usuari de PC de la legitimitat de l'oferta de feina. L'APT34 enviaria a la víctima objectiu un missatge que contindria un fitxer anomenat "ERFT-Details.xls" amb la càrrega útil del programari maliciós. El programari maliciós llançat s'anomena la porta del darrere Tonedeaf i, en executar-se, es connectarà immediatament al servidor C&C (Command & Control) dels atacants. Això s'aconsegueix mitjançant sol·licituds POST i HTTP GET. El programari maliciós Tonedeaf és capaç de:

  • Carregueu fitxers.
  • Descarregar fitxers.
  • Recolliu informació sobre el sistema compromès.
  • Executar ordres de shell.

A part de les seves principals capacitats, la porta posterior de Tonedeaf serveix com a porta d'entrada per a l'APT34 per plantar més programari maliciós a l'amfitrió infectat.

Certament, el grup no està satisfet amb tenir control només d'un dels sistemes de l'organització compromesa. Se'ls va veure fent servir eines de recollida de contrasenyes per accedir a les credencials d'inici de sessió amb regularitat i després intentar utilitzar-les per infiltrar-se en altres sistemes que es troben a la mateixa xarxa de l'empresa.

L'APT34 acostuma a utilitzar eines de pirateria que han desenvolupat principalment, però de vegades també emprarien eines disponibles públicament a les seves campanyes.