APT34

APT34

APT34 (Advanced Persistent Threat) je íránská hackerská skupina, která je známá také jako OilRig, Helix Kitten a Greenbug. Experti na malware se domnívají, že hackerská skupina APT34 je sponzorována íránskou vládou a je využívána k prosazování íránských zájmů po celém světě. Hackerská skupina APT34 byla poprvé spatřena již v roce 2014. Tato státem sponzorovaná hackerská skupina má tendenci se zaměřovat na zahraniční korporace a instituce v energetickém, finančním, chemickém a obranném průmyslu.

Působí na Blízkém východě

Činnost APT34 je soustředěna především do regionu Blízkého východu. Hackerské skupiny často zneužívaly známé exploity v zastaralém softwaru. APT34 však preferuje šíření svých hrozeb pomocí technik sociálního inženýrství. Skupina je známá tím, že používá zřídka vídané techniky – například využívá protokol DNS k vytvoření komunikačního kanálu mezi infikovaným hostitelem a řídicím serverem. Pravidelně se také spoléhají na hackerské nástroje, které si sami vyrobili, místo aby se rozhodli používat ty veřejné.

Tonedeaf Backdoor

V jedné ze svých nejnovějších kampaní se APT34 zaměřuje na zaměstnance v energetickém sektoru i na jednotlivce pracující v zahraničních vládách. APT34 vybudoval falešnou sociální síť a poté se vydával za zástupce Cambridgeské univerzity, která hledá zaměstnance. Zašli dokonce tak daleko, že vygenerovali falešný LinkedIn profil, který má uživatele PC přesvědčit o oprávněnosti pracovní nabídky. APT34 by poslal cílené oběti zprávu, která by obsahovala soubor nazvaný 'ERFT-Details.xls' nesoucí užitečné zatížení malwaru. Vypuštěný malware se nazývá zadní vrátka Tonedeaf a po spuštění by se okamžitě připojil k serveru C&C (Command & Control) útočníků. Toho je dosaženo prostřednictvím požadavků POST a HTTP GET. Malware Tonedeaf je schopen:

  • Nahrát soubory.
  • Stáhnout soubory.
  • Shromážděte informace o napadeném systému.
  • Provádějte příkazy shellu.

Kromě svých hlavních funkcí slouží zadní vrátka Tonedeaf jako brána pro APT34 k umístění dalšího malwaru na infikovaný hostitel.

Skupina rozhodně není spokojená s tím, že má kontrolu pouze nad jedním ze systémů kompromitované organizace. Byli viděni, jak používají nástroje pro shromažďování hesel k pravidelnému přístupu k přihlašovacím údajům a poté se je pokusili použít k infiltraci do jiných systémů nalezených ve stejné firemní síti.

APT34 má tendenci používat hackerské nástroje, které vyvinuli hlavně oni, ale někdy by ve svých kampaních použili i veřejně dostupné nástroje.

Trending

Loading...