APT34

L'APT34 (Advanced Persistent Threat) è un gruppo di hacker con sede in Iran noto anche come OilRig, Helix Kitten e Greenbug. Gli esperti di malware ritengono che il gruppo di hacking APT34 sia sponsorizzato dal governo iraniano e sia utilizzato per promuovere gli interessi iraniani a livello globale. Il gruppo di hacker APT34 è stato individuato per la prima volta nel 2014. Questo gruppo di hacker sponsorizzato dallo stato tende a prendere di mira società e istituzioni straniere nei settori energetico, finanziario, chimico e della difesa.

Opera in Medio Oriente

L'attività dell'APT34 è concentrata principalmente nella regione del Medio Oriente. Spesso, i gruppi di hacker sfrutterebbero exploit noti in software obsoleti. Tuttavia, l'APT34 preferisce propagare le proprie minacce utilizzando tecniche di ingegneria sociale. Il gruppo è noto per l'uso di tecniche raramente viste, ad esempio l'utilizzo del protocollo DNS per stabilire un canale di comunicazione tra l'host infetto e il server di controllo. Si affidano inoltre regolarmente a strumenti di hacking fatti da sé, invece di scegliere di utilizzare quelli pubblici.

La backdoor sorda

In una delle sue ultime campagne, l'APT34 si rivolge ai dipendenti del settore energetico e alle persone che lavorano in governi stranieri. L'APT34 ha costruito un falso social network e poi si è presentato come un rappresentante dell'Università di Cambridge che sta cercando di assumere personale. Sono persino arrivati al punto di generare un falso profilo LinkedIn, che ha lo scopo di convincere l'utente del PC della legittimità dell'offerta di lavoro. L'APT34 invierebbe alla vittima presa di mira un messaggio che conterrebbe un file chiamato "ERFT-Details.xls" contenente il carico utile del malware. Il malware rilasciato è chiamato backdoor Tonedeaf e al momento dell'esecuzione si collegherebbe immediatamente al server C&C (Command & Control) degli aggressori. Ciò si ottiene tramite richieste POST e HTTP GET. Il malware Tonedeaf è in grado di:

• Caricare files.
• Scaricare files.
• Raccogli informazioni sul sistema compromesso.
• Esegui i comandi della shell.

Oltre alle sue capacità principali, la backdoor Tonedeaf funge da gateway per l'APT34 per piantare più malware sull'host infetto.

Il gruppo non è certo contento di avere il controllo su uno solo dei sistemi dell'organizzazione compromessa. Sono stati visti utilizzare strumenti di raccolta password per accedere regolarmente alle credenziali di accesso e quindi provare a utilizzarle per infiltrarsi in altri sistemi trovati sulla stessa rete aziendale.

L'APT34 tende a utilizzare strumenti di hacking che hanno sviluppato principalmente, ma a volte impiegano anche strumenti disponibili pubblicamente nelle loro campagne.