APT34

APT34 (Advanced Persistent Threat) yra Irane įsikūrusi įsilaužimo grupė, dar žinoma kaip OilRig, Helix Kitten ir Greenbug. Kenkėjiškų programų ekspertai mano, kad APT34 įsilaužimo grupę remia Irano vyriausybė ir ji naudojama siekiant palaikyti Irano interesus visame pasaulyje. APT34 įsilaužimo grupė pirmą kartą buvo pastebėta dar 2014 m. Ši valstybės remiama programišių grupė dažniausiai taikosi į užsienio korporacijas ir institucijas energetikos, finansų, chemijos ir gynybos pramonės srityse.

Veikia Artimuosiuose Rytuose

APT34 veikla daugiausia sutelkta Artimųjų Rytų regione. Dažnai įsilaužimo grupės išnaudojo žinomus pasenusios programinės įrangos išnaudojimus. Tačiau APT34 nori skleisti savo grėsmes naudodamas socialinės inžinerijos metodus. Grupė yra žinoma dėl savo retai matomų metodų, pavyzdžiui, DNS protokolo panaudojimo ryšio kanalui tarp užkrėsto pagrindinio kompiuterio ir valdymo serverio sukurti. Jie taip pat reguliariai naudojasi pačių sukurtais įsilaužimo įrankiais, užuot pasirinkę naudoti viešuosius.

Tonedeaf Backdoor

Vienoje iš naujausių kampanijų APT34 skirtas energetikos sektoriaus darbuotojams ir asmenims, dirbantiems užsienio vyriausybėse. APT34 sukūrė netikrą socialinį tinklą ir apsimetė Kembridžo universiteto, kuris nori samdyti darbuotojus, atstovu. Jie netgi sukūrė netikrą LinkedIn profilį, skirtą įtikinti kompiuterio vartotoją darbo pasiūlymo teisėtumu. APT34 nusiųstų tikslinei aukai pranešimą, kuriame būtų failas pavadinimu „ERFT-Details.xls“, kuriame yra kenkėjiškų programų apkrova. Pašalinta kenkėjiška programa vadinama „Tonedeaf“ užpakalinėmis durimis ir ją įvykdžius iškart prisijungs prie užpuolikų C&C (Command & Control) serverio. Tai pasiekiama naudojant POST ir HTTP GET užklausas. Kenkėjiška programa Tonedeaf gali:

• Įkelti failus.
• Parsisiųsti failus.
• Surinkite informaciją apie pažeistą sistemą.
• Vykdykite apvalkalo komandas.

Be pagrindinių galimybių, „Tonedeaf“ užpakalinės durys tarnauja kaip vartai APT34, kad užkrėstame pagrindiniame kompiuteryje būtų įdiegta daugiau kenkėjiškų programų.

Grupė tikrai nėra patenkinta, kad gali valdyti tik vieną iš pažeistos organizacijos sistemų. Buvo pastebėta, kad jie naudojo slaptažodžių rinkimo įrankius, kad reguliariai pasiektų prisijungimo kredencialus, o paskui bandė juos naudoti, kad įsiskverbtų į kitas sistemas, esančias tame pačiame įmonės tinkle.

APT34 dažniausiai naudoja įsilaužimo įrankius, kuriuos daugiausia sukūrė, tačiau kartais jie savo kampanijose naudoja ir viešai prieinamus įrankius.