APT34

APT34 Leírás

Az APT34 (Advanced Persistent Threat) egy iráni székhelyű hackercsoport, amely OilRig, Helix Kitten és Greenbug néven is ismert. A rosszindulatú programok szakértői úgy vélik, hogy az APT34 hackercsoportot az iráni kormány támogatja, és az iráni érdekek előmozdítására használják világszerte. Az APT34 hackercsoportot először 2014-ben észlelték. Ez az államilag támogatott hackercsoport általában külföldi energia-, pénzügyi, vegyipari és védelmi iparban működő vállalatokat és intézményeket céloz meg.

A Közel-Keleten működik

Az APT34 tevékenysége elsősorban a Közel-Kelet térségében összpontosul. A hackercsoportok gyakran kihasználják az elavult szoftverek ismert kihasználását. Az APT34 azonban előszeretettel terjeszti fenyegetéseit social engineering technikákkal. A csoport arról híres, hogy ritkán látott technikákat alkalmaz – például DNS-protokoll használatával kommunikációs csatornát hoz létre a fertőzött gazdagép és a vezérlőszerver között. Rendszeresen saját készítésű hackereszközökre is támaszkodnak, ahelyett, hogy nyilvánosakat használnának.

A Tonedeaf Backdoor

Az egyik legújabb kampányában az APT34 az energiaszektorban dolgozókat, valamint a külföldi kormányoknál dolgozó személyeket célozza meg. Az APT34 hamis közösségi hálózatot épített ki, majd a Cambridge-i Egyetem képviselőjének adta ki magát, amely személyzetet keres. Eljutottak odáig, hogy létrehoztak egy hamis LinkedIn-profilt, ami a PC-felhasználót hivatott meggyőzni az állásajánlat jogosságáról. Az APT34 üzenetet küld a megcélzott áldozatnak, amely egy „ERFT-Details.xls” nevű fájlt tartalmazna, amely a kártevő hasznos terhét hordozza. Az eldobott kártevőt Tonedeaf backdoornak hívják, és a végrehajtás után azonnal csatlakozik a támadó C&C (Command & Control) szerveréhez. Ez POST és HTTP GET kéréseken keresztül érhető el. A Tonedeaf malware képes:

  • Fájlok feltöltése.
  • Fájlok letöltése.
  • Gyűjtsön információkat a feltört rendszerről.
  • Shell parancsok végrehajtása.

A fő képességei mellett a Tonedeaf hátsó ajtó átjáróként szolgál az APT34 számára, hogy több rosszindulatú programot telepítsen a fertőzött gazdagépre.

A csoport természetesen nem elégedett azzal, hogy a kompromittált szervezet rendszerei közül csak egyet irányíthat. Látták, hogy jelszógyűjtő eszközökkel rendszeresen hozzáfértek a bejelentkezési adatokhoz, majd megpróbáltak velük behatolni az ugyanazon vállalati hálózaton található más rendszerekbe.

Az APT34 hajlamos elsősorban általuk kifejlesztett hackereszközöket használni, de néha nyilvánosan elérhető eszközöket is alkalmaznak kampányaikban.