APT34

APT34

Το APT34 (Advanced Persistent Threat) είναι μια ομάδα hacking με έδρα το Ιράν που είναι επίσης γνωστή ως OilRig, Helix Kitten και Greenbug. Οι ειδικοί σε κακόβουλο λογισμικό πιστεύουν ότι η ομάδα hacking APT34 χρηματοδοτείται από την ιρανική κυβέρνηση και χρησιμοποιείται για την προώθηση των ιρανικών συμφερόντων παγκοσμίως. Η ομάδα hacking APT34 εντοπίστηκε για πρώτη φορά το 2014. Αυτή η ομάδα hacking που χρηματοδοτείται από το κράτος τείνει να στοχεύει ξένες εταιρείες και ιδρύματα στον ενεργειακό, χρηματοοικονομικό, χημικό και αμυντικό κλάδο.

Λειτουργεί στη Μέση Ανατολή

Η δραστηριότητα του APT34 είναι συγκεντρωμένη στην περιοχή της Μέσης Ανατολής κυρίως. Συχνά, οι ομάδες hacking εκμεταλλεύονται γνωστά εκμεταλλεύσεις σε απαρχαιωμένο λογισμικό. Ωστόσο, το APT34 προτιμά να διαδώσει τις απειλές του χρησιμοποιώντας τεχνικές κοινωνικής μηχανικής. Η ομάδα είναι γνωστή για τη χρήση τεχνικών που εμφανίζονται σπάνια - για παράδειγμα, χρησιμοποιώντας το πρωτόκολλο DNS για τη δημιουργία ενός καναλιού επικοινωνίας μεταξύ του μολυσμένου κεντρικού υπολογιστή και του διακομιστή ελέγχου. Επίσης, βασίζονται τακτικά σε αυτοκατασκευασμένα εργαλεία hacking, αντί να επιλέγουν να χρησιμοποιούν δημόσια.

The Tonedeaf Backdoor

Σε μια από τις τελευταίες καμπάνιες του, το APT34 στοχεύει εργαζόμενους στον ενεργειακό τομέα καθώς και άτομα που εργάζονται σε ξένες κυβερνήσεις. Το APT34 δημιούργησε ένα ψεύτικο κοινωνικό δίκτυο και στη συνέχεια εμφανίστηκε ως εκπρόσωπος του Πανεπιστημίου του Κέιμπριτζ που αναζητά να προσλάβει προσωπικό. Έχουν φτάσει ακόμη και στο να δημιουργήσουν ένα ψεύτικο προφίλ LinkedIn, το οποίο έχει σκοπό να πείσει τον χρήστη υπολογιστή για τη νομιμότητα της προσφοράς εργασίας. Το APT34 θα έστελνε στο στοχευμένο θύμα ένα μήνυμα το οποίο θα περιείχε ένα αρχείο που ονομάζεται «ERFT-Details.xls» που θα φέρει το ωφέλιμο φορτίο του κακόβουλου λογισμικού. Το κακόβουλο λογισμικό που απορρίφθηκε ονομάζεται Tonedeaf backdoor και κατά την εκτέλεση θα συνδεόταν αμέσως με τον διακομιστή C&C (Command & Control) των εισβολέων. Αυτό επιτυγχάνεται μέσω αιτημάτων POST και HTTP GET. Το κακόβουλο λογισμικό Tonedeaf είναι σε θέση να:

  • Μεταφόρτωση αρχείων.
  • Λήψη αρχείων.
  • Συγκεντρώστε πληροφορίες σχετικά με το παραβιασμένο σύστημα.
  • Εκτελέστε εντολές φλοιού.

Εκτός από τις κύριες δυνατότητές του, το Tonedeaf backdoor χρησιμεύει ως πύλη για το APT34 για την εγκατάσταση περισσότερου κακόβουλου λογισμικού στον μολυσμένο κεντρικό υπολογιστή.

Η ομάδα σίγουρα δεν είναι ευχαριστημένη με τον έλεγχο ενός μόνο από τα συστήματα του οργανισμού που έχει παραβιαστεί. Παρατηρήθηκαν να χρησιμοποιούν εργαλεία συλλογής κωδικών πρόσβασης για να έχουν τακτική πρόσβαση στα διαπιστευτήρια σύνδεσης και στη συνέχεια να τα χρησιμοποιούν για να διεισδύσουν σε άλλα συστήματα που βρίσκονται στο ίδιο εταιρικό δίκτυο.

Το APT34 τείνει να χρησιμοποιεί εργαλεία hacking που έχουν αναπτύξει κυρίως, αλλά μερικές φορές θα χρησιμοποιούσε και δημόσια διαθέσιμα εργαλεία στις καμπάνιες τους.

Trending

Loading...