APT34

APT34(Advanced Persistent Threat)는 OilRig, Helix Kitten 및 Greenbug로도 알려진 이란 기반의 해킹 그룹입니다. 멀웨어 전문가들은 APT34 해킹 그룹이 이란 정부의 후원을 받고 있으며 전 세계적으로 이란의 이익을 증진하는 데 이용되고 있다고 믿고 있습니다. APT34 해킹 그룹은 2014년에 처음 발견되었습니다. 이 국가 후원 해킹 그룹은 에너지, 금융, 화학, 방위 산업 분야의 외국 기업 및 기관을 표적으로 삼는 경향이 있습니다.

중동에서 운영

APT34의 활동은 주로 중동 지역에 집중되어 있습니다. 종종 해킹 그룹은 오래된 소프트웨어의 알려진 익스플로잇을 악용합니다. 그러나 APT34는 사회 공학 기술을 사용하여 위협을 전파하는 것을 선호합니다. 이 그룹은 드물게 볼 수 있는 기술을 사용하는 것으로 알려져 있습니다. 예를 들어, DNS 프로토콜을 사용하여 감염된 호스트와 제어 서버 간의 통신 채널을 설정합니다. 그들은 또한 공개 해킹 도구를 선택하는 대신 자체 제작한 해킹 도구에 정기적으로 의존합니다.

톤디프 백도어

최신 캠페인 중 하나에서 APT34는 에너지 부문의 직원과 외국 정부에서 일하는 개인을 대상으로 합니다. APT34는 가짜 소셜 네트워크를 구축한 다음 직원을 고용하려는 캠브리지 대학의 대표로 가장했습니다. 그들은 심지어 PC 사용자에게 채용 제안의 정당성을 확신시키기 위한 가짜 LinkedIn 프로필을 생성하기까지 했습니다. APT34는 표적 피해자에게 맬웨어의 페이로드를 포함하는 'ERFT-Details.xls'라는 파일이 포함된 메시지를 보냅니다. 드롭된 악성코드를 Tonedeaf 백도어라고 하며 실행 시 공격자 C&C(Command & Control) 서버에 즉시 연결됩니다. 이것은 POST 및 HTTP GET 요청을 통해 달성됩니다. Tonedeaf 멀웨어는 다음을 수행할 수 있습니다.

• 파일 업로드하다.
• 파일을 다운로드합니다.
• 손상된 시스템에 대한 정보를 수집합니다.
• 쉘 명령을 실행합니다.

주요 기능 외에도 Tonedeaf 백도어는 APT34가 감염된 호스트에 더 많은 맬웨어를 심는 게이트웨이 역할을 합니다.

이 그룹은 손상된 조직의 시스템 중 하나만 제어하는 데 만족하지 않습니다. 그들은 암호 수집 도구를 사용하여 로그인 자격 증명에 정기적으로 액세스한 다음 이를 사용하여 동일한 회사 네트워크에 있는 다른 시스템에 침투하는 것이 목격되었습니다.

APT34는 주로 개발한 해킹 도구를 사용하는 경향이 있지만 때로는 캠페인에서 공개적으로 사용 가능한 도구를 사용하기도 합니다.