APT34

APT34 (Advanced Persistent Threat) je hakerska grupa sa sjedištem u Iranu koja je također poznata kao OilRig, Helix Kitten i Greenbug. Stručnjaci za zlonamjerni softver vjeruju da hakersku grupu APT34 sponzorira iranska vlada i da se koristi za promicanje iranskih interesa na globalnoj razini. Hakerska grupa APT34 prvi put je uočena još 2014. Ova hakerska grupa koju sponzorira država ima tendenciju da cilja strane korporacije i institucije u energetskoj, financijskoj, kemijskoj i obrambenoj industriji.

Djeluje na Bliskom istoku

Djelatnost APT34 koncentrirana je uglavnom u regiji Bliskog istoka. Često bi hakerske grupe iskorištavale poznate eksploatacije u zastarjelom softveru. Međutim, APT34 radije propagira svoje prijetnje koristeći tehnike društvenog inženjeringa. Grupa je poznata po korištenju rijetko viđenih tehnika - na primjer, korištenje DNS protokola za uspostavljanje komunikacijskog kanala između zaraženog hosta i kontrolnog poslužitelja. Također se redovito oslanjaju na alate za hakiranje vlastite izrade, umjesto da se odluče koristiti javne.

Stražnja vrata Tonedeaf

U jednoj od svojih najnovijih kampanja, APT34 cilja na zaposlenike u energetskom sektoru, kao i na pojedince koji rade u stranim vladama. APT34 je izgradio lažnu društvenu mrežu, a zatim se predstavio kao predstavnik Sveučilišta Cambridge koje želi zaposliti osoblje. Došli su čak i do generiranja lažnog LinkedIn profila, koji bi trebao uvjeriti korisnika računala u legitimnost ponude za posao. APT34 bi ciljanoj žrtvi poslao poruku koja bi sadržavala datoteku pod nazivom 'ERFT-Details.xls' koja nosi sadržaj zlonamjernog softvera. Odbačeni zlonamjerni softver naziva se Tonedeaf backdoor i nakon izvršenja bi se odmah povezao s C&C (Command & Control) poslužiteljem napadača. To se postiže putem POST i HTTP GET zahtjeva. Zlonamjerni softver Tonedeaf može:

• Prenesite datoteke.
• Preuzmite datoteke.
• Prikupite informacije o ugroženom sustavu.
• Izvršite naredbe ljuske.

Osim svojih glavnih mogućnosti, Tonedeaf backdoor služi kao pristupnik za APT34 za postavljanje više zlonamjernog softvera na zaraženi host.

Grupa sigurno nije zadovoljna što ima kontrolu samo nad jednim od sustava ugrožene organizacije. Viđeni su kako koriste alate za prikupljanje lozinki za redoviti pristup vjerodajnicama za prijavu, a zatim ih pokušavaju koristiti za infiltriranje u druge sustave koji se nalaze na mreži iste tvrtke.

APT34 obično koristi alate za hakiranje koje su uglavnom razvili, ali ponekad bi koristili i javno dostupne alate u svojim kampanjama.