APT33

De APT33 (Advanced Persistent Threat) dateert uit 2013. Malware-onderzoekers geloven dat de hackgroep afkomstig is uit Iran en waarschijnlijk door de staat wordt gesponsord. Het lijkt erop dat de inspanningen van de APT33-hackgroep zijn gericht op het behartigen van de belangen van de Iraanse regering, aangezien ze de neiging hebben zich te richten op concurrerende industrieën uit het buitenland, vaak op het gebied van ruimtevaart, defensie en chemicaliën. De meeste van hun campagnes concentreren zich op drie specifieke regio's: Saoedi-Arabië, de Verenigde Staten en Zuid-Korea. Het is niet ongewoon voor overheden om hackgroepen te sponsoren en in te zetten voor spionage en diverse andere activiteiten.

De nieuwste aanval gericht op Saoedi-Arabië

De APT33 doet behoorlijk wat moeite om anoniem te blijven, omdat ze vaak hun hacktools en de infrastructuur die ze gebruiken veranderen. In maart 2019 lanceerde de APT33 een aanval op doelen in Saoedi-Arabië met behulp van de Nanocore RAT en kort nadat de aanval had plaatsgevonden, veranderden ze hun infrastructuur volledig en stopten ze met het gebruik van de Nanocore RAT, en in plaats daarvan gebruikten ze een nieuwe RAT genaamd njRAT .

Uitgestrekte infrastructuur

Nog een van hun beruchte hacktools is de DropShot-druppelaar. Ze hebben ook StoneDrill gebruikt, hun zelfgemaakte schijfwisser die enkele eigenschappen deelt met de Shamoon 2- wisser. Sommige experts speculeren dat de APT33-hackgroep meer dan 1.200 domeinen en honderden servers heeft, wat ons laat zien hoe groot hun infrastructuur is en hoe gemakkelijk ze cyberbeveiligingsexperts voor de gek kunnen houden door gewoon van route te veranderen.

Afgezien van het ontwikkelen van hun eigen hacktools, maakt de APT33 vaak gebruik van openbaar beschikbare tools zoals de AdwindRAT, SpyNet, RevengeRAT , DarkComet en vele anderen. Het is waarschijnlijk dat de APT33 zijn activiteiten in de toekomst zal voortzetten en waarschijnlijk zowel hun infrastructuur als hun arsenaal zal blijven uitbreiden.