APT34

APT34 (Advanced Persistent Threat) ialah kumpulan penggodaman yang berpangkalan di Iran yang juga dikenali sebagai OilRig, Helix Kitten, dan Greenbug. Pakar perisian hasad percaya bahawa kumpulan penggodaman APT34 ditaja oleh kerajaan Iran dan digunakan untuk memajukan kepentingan Iran di peringkat global. Kumpulan penggodaman APT34 mula dikesan pada tahun 2014. Kumpulan penggodaman tajaan kerajaan ini cenderung menyasarkan syarikat dan institusi asing dalam industri tenaga, kewangan, kimia dan pertahanan.

Beroperasi di Timur Tengah

Aktiviti APT34 tertumpu di rantau Timur Tengah terutamanya. Selalunya, kumpulan penggodaman akan mengeksploitasi eksploitasi yang diketahui dalam perisian lapuk. Walau bagaimanapun, APT34 lebih suka menyebarkan ancaman mereka menggunakan teknik kejuruteraan sosial. Kumpulan itu terkenal dengan penggunaan teknik yang jarang dilihat - contohnya, menggunakan protokol DNS untuk mewujudkan saluran komunikasi antara hos yang dijangkiti dan pelayan kawalan. Mereka juga sentiasa bergantung pada alat penggodaman buatan sendiri, dan bukannya memilih untuk menggunakan alat awam.

Pintu Belakang Tonedeaf

Dalam salah satu kempen terbarunya, APT34 menyasarkan pekerja dalam sektor tenaga serta individu yang bekerja di kerajaan asing. APT34 membina rangkaian sosial palsu dan kemudian menyamar sebagai wakil Universiti Cambridge yang ingin mengambil kakitangan. Mereka bahkan telah pergi sejauh menjana profil LinkedIn palsu, yang bertujuan untuk meyakinkan pengguna PC tentang kesahihan tawaran kerja. APT34 akan menghantar mesej kepada mangsa yang disasarkan yang mengandungi fail yang dipanggil 'ERFT-Details.xls' yang membawa muatan perisian hasad. Malware yang digugurkan dipanggil pintu belakang Tonedeaf dan selepas pelaksanaan akan menyambung ke pelayan C&C (Perintah & Kawalan) penyerang serta-merta. Ini dicapai melalui POST dan permintaan HTTP GET. Malware Tonedeaf mampu:

• Memuat naik fail.
• Muat turun fail.
• Kumpul maklumat tentang sistem yang terjejas.
• Laksanakan arahan shell.

Selain daripada keupayaan utamanya, pintu belakang Tonedeaf berfungsi sebagai pintu masuk untuk APT34 untuk menanam lebih banyak perisian hasad pada hos yang dijangkiti.

Kumpulan itu pastinya tidak berpuas hati dengan mengawal hanya satu daripada sistem organisasi yang terjejas. Mereka dilihat menggunakan alat mengumpul kata laluan untuk mengakses kelayakan log masuk dengan kerap dan kemudian mencuba dan menggunakannya untuk menyusup ke sistem lain yang terdapat pada rangkaian syarikat yang sama.

APT34 cenderung menggunakan alat penggodaman yang telah mereka bangunkan terutamanya, tetapi kadangkala mereka juga menggunakan alat yang tersedia secara umum dalam kempen mereka.