APT34

APT34

APT34 (Advanced Persistent Threat) یک گروه هک مستقر در ایران است که با نام‌های OilRig، Helix Kitten و Greenbug نیز شناخته می‌شود. کارشناسان بدافزار بر این باورند که گروه هک APT34 توسط دولت ایران حمایت می شود و برای پیشبرد منافع ایران در سطح جهانی استفاده می شود. گروه هک APT34 برای اولین بار در سال 2014 مشاهده شد. این گروه هکری تحت حمایت دولتی تمایل دارد شرکت ها و موسسات خارجی در صنایع انرژی، مالی، شیمیایی و دفاعی را هدف قرار دهد.

در خاورمیانه فعالیت می کند

فعالیت APT34 عمدتاً در منطقه خاورمیانه متمرکز است. اغلب، گروه های هک از سوء استفاده های شناخته شده در نرم افزارهای قدیمی سوء استفاده می کنند. با این حال، APT34 ترجیح می دهد تهدیدات خود را با استفاده از تکنیک های مهندسی اجتماعی منتشر کند. این گروه به دلیل استفاده از تکنیک هایی که به ندرت دیده می شوند - برای مثال، استفاده از پروتکل DNS برای ایجاد یک کانال ارتباطی بین میزبان آلوده و سرور کنترل شناخته شده است. آنها همچنین به جای استفاده از ابزارهای عمومی، به طور مرتب به ابزارهای هک خود ساخته متکی هستند.

در پشتی Tonedeaf

APT34 در یکی از آخرین کمپین های خود، کارکنان بخش انرژی و همچنین افرادی را که در دولت های خارجی کار می کنند، هدف قرار می دهد. APT34 یک شبکه اجتماعی ساختگی ایجاد کرد و سپس به عنوان نماینده دانشگاه کمبریج که به دنبال استخدام کارمندان است، ظاهر شد. آنها حتی تا آنجا پیش رفته اند که یک پروفایل جعلی LinkedIn ایجاد کرده اند، که قرار است کاربر رایانه شخصی را در مورد مشروعیت پیشنهاد شغلی متقاعد کند. APT34 به قربانی مورد نظر پیامی می فرستد که حاوی فایلی به نام "ERFT-Details.xls" است که محموله بدافزار را حمل می کند. بدافزاری که حذف شده است Tonedeaf Backdoor نامیده می شود و پس از اجرا بلافاصله به سرور C&C (Command & Control) مهاجمان متصل می شود. این از طریق درخواست های POST و HTTP GET به دست می آید. بدافزار Tonedeaf قادر است:

  • فایل ها را آپلود کنید.
  • دانلود فایل ها.
  • اطلاعات مربوط به سیستم در معرض خطر را جمع آوری کنید.
  • دستورات پوسته را اجرا کنید.

جدا از قابلیت های اصلی، در پشتی Tonedeaf به عنوان دروازه ای برای APT34 عمل می کند تا بدافزار بیشتری را روی میزبان آلوده نصب کند.

این گروه مطمئناً از داشتن کنترل فقط بر یکی از سیستم های سازمان در معرض خطر راضی نیست. آن‌ها با استفاده از ابزارهای جمع‌آوری رمز عبور به طور منظم به اعتبار ورود به سیستم دسترسی پیدا کردند و سپس سعی کردند از آنها برای نفوذ به سایر سیستم‌های موجود در شبکه شرکت استفاده کنند.

APT34 تمایل دارد از ابزارهای هک استفاده کند که عمدتاً توسعه داده اند، اما گاهی اوقات آنها از ابزارهای در دسترس عموم نیز در کمپین های خود استفاده می کنند.

Loading...