APT34

APT34

APT34 (Advanced Persistent Threat) er en Iran-baseret hackergruppe, der også er kendt som OilRig, Helix Kitten og Greenbug. Malware-eksperter mener, at APT34-hackergruppen er sponsoreret af den iranske regering og bruges til at fremme iranske interesser globalt. APT34-hackergruppen blev først opdaget tilbage i 2014. Denne statssponsorerede hackergruppe har en tendens til at målrette mod udenlandske virksomheder og institutioner inden for energi-, finans-, kemisk- og forsvarsindustrien.

Virker i Mellemøsten

Aktiviteten af APT34 er hovedsagelig koncentreret i regionen i Mellemøsten. Ofte ville hackergrupper udnytte kendte udnyttelser i forældet software. APT34 foretrækker dog at udbrede deres trusler ved hjælp af social engineering-teknikker. Gruppen er kendt for deres brug af sjældent set teknikker - for eksempel at anvende DNS-protokollen til at etablere en kommunikationskanal mellem den inficerede vært og kontrolserveren. De er også afhængige af selvfremstillede hackingværktøjer regelmæssigt i stedet for at vælge at bruge offentlige.

Den Tonedeaf Bagdør

I en af sine seneste kampagner er APT34 rettet mod ansatte i energisektoren såvel som personer, der arbejder i udenlandske regeringer. APT34 byggede et falsk socialt netværk og poserede derefter som en repræsentant for Cambridge University, der søger at ansætte personale. De er endda gået så langt som at generere en falsk LinkedIn-profil, som skal overbevise pc-brugeren om lovligheden af jobtilbuddet. APT34 ville sende det målrettede offer en besked, som ville indeholde en fil kaldet 'ERFT-Details.xls', der bærer nyttelasten af malwaren. Den tabte malware kaldes Tonedeaf-bagdøren og ville ved udførelse straks oprette forbindelse til angriberens C&C (Command & Control) server. Dette opnås via POST og HTTP GET-anmodninger. Tonedeaf malware er i stand til at:

  • Upload filer.
  • Download filer.
  • Indsaml information om det kompromitterede system.
  • Udfør shell-kommandoer.

Udover dens hovedfunktioner fungerer Tonedeaf-bagdøren som en gateway for APT34 til at plante mere malware på den inficerede vært.

Gruppen er bestemt ikke tilfreds med at have kontrol over blot ét af den kompromitterede organisations systemer. De blev set ved at bruge værktøjer til indsamling af adgangskoder til regelmæssigt at få adgang til loginoplysninger og derefter prøve at bruge dem til at infiltrere andre systemer, der findes på det samme firmanetværk.

APT34 har en tendens til at bruge hacking-værktøjer, som de primært har udviklet, men nogle gange bruger de også offentligt tilgængelige værktøjer i deres kampagner.

Trending

Indlæser...