APT34

APT34 (Advanced Persistent Threat) er en Iran-basert hackergruppe som også er kjent som OilRig, Helix Kitten og Greenbug. Malware-eksperter mener at hackergruppen APT34 er sponset av den iranske regjeringen og brukes til å fremme iranske interesser globalt. Hackinggruppen APT34 ble først oppdaget i 2014. Denne statsstøttede hackergruppen har en tendens til å målrette mot utenlandske selskaper og institusjoner innen energi-, finans-, kjemisk- og forsvarsindustrien.

Virker i Midtøsten

Aktiviteten til APT34 er hovedsakelig konsentrert i regionen i Midtøsten. Ofte ville hackergrupper utnytte kjente utnyttelser i utdatert programvare. APT34 foretrekker imidlertid å spre truslene sine ved hjelp av sosiale ingeniørteknikker. Gruppen er kjent for sin bruk av sjeldent sett teknikker - for eksempel bruk av DNS-protokollen for å etablere en kommunikasjonskanal mellom den infiserte verten og kontrollserveren. De er også avhengige av selvlagde hackingverktøy regelmessig, i stedet for å velge å bruke offentlige.

Tonedeaf-bakdøren

I en av sine siste kampanjer retter APT34 seg mot ansatte i energisektoren så vel som personer som jobber i utenlandske myndigheter. APT34 bygde et falskt sosialt nettverk og stilte seg deretter som en representant for Cambridge University som ønsker å ansette ansatte. De har til og med gått så langt som å generere en falsk LinkedIn-profil, som er ment å overbevise PC-brukeren om legitimiteten til jobbtilbudet. APT34 ville sende det målrettede offeret en melding som ville inneholde en fil kalt 'ERFT-Details.xls' som bærer nyttelasten til skadelig programvare. Skadevaren som ble droppet kalles Tonedeaf-bakdøren og vil umiddelbart koble seg til angriperens C&C-server (Command & Control) ved utførelse. Dette oppnås via POST og HTTP GET-forespørsler. Tonedeaf malware er i stand til å:

• Last opp filer.
• Last ned filer.
• Samle informasjon om det kompromitterte systemet.
• Utfør skallkommandoer.

Bortsett fra hovedfunksjonene, fungerer Tonedeaf-bakdøren som en inngangsport for APT34 for å plante mer skadelig programvare på den infiserte verten.

Gruppen er absolutt ikke fornøyd med å ha kontroll over bare ett av den kompromitterte organisasjonens systemer. De ble sett ved å bruke passordinnsamlingsverktøy for å få tilgang til påloggingsinformasjon regelmessig, og deretter prøve å bruke dem til å infiltrere andre systemer som finnes på samme firmanettverk.

APT34 har en tendens til å bruke hackingverktøy som de hovedsakelig har utviklet, men noen ganger bruker de også offentlig tilgjengelige verktøy i kampanjene sine.