APT34

De APT34 (Advanced Persistent Threat) is een in Iran gevestigde hackgroep die ook bekend staat als OilRig, Helix Kitten en Greenbug. Malware-experts zijn van mening dat de APT34-hackgroep wordt gesponsord door de Iraanse regering en wordt gebruikt om de Iraanse belangen wereldwijd te bevorderen. De hackgroep APT34 werd voor het eerst opgemerkt in 2014. Deze door de staat gesponsorde hackgroep richt zich meestal op buitenlandse bedrijven en instellingen in de energie-, financiële, chemische en defensie-industrie.

Is actief in het Midden-Oosten

De activiteit van de APT34 is voornamelijk geconcentreerd in de regio van het Midden-Oosten. Vaak maakten hackgroepen misbruik van bekende exploits in verouderde software. De APT34 geeft er echter de voorkeur aan hun bedreigingen te verspreiden met behulp van social engineering-technieken. De groep staat bekend om hun gebruik van zelden geziene technieken - bijvoorbeeld het gebruik van het DNS-protocol om een communicatiekanaal tot stand te brengen tussen de geïnfecteerde host en de controleserver. Ze vertrouwen ook regelmatig op zelfgemaakte hacktools, in plaats van ervoor te kiezen openbare te gebruiken.

De Toondeaf Achterdeur

In een van zijn laatste campagnes richt de APT34 zich zowel op werknemers in de energiesector als op individuen die bij buitenlandse regeringen werken. De APT34 bouwde een nep sociaal netwerk op en deed zich vervolgens voor als vertegenwoordiger van de Cambridge University die op zoek is naar personeel. Ze zijn zelfs zo ver gegaan dat ze een nep-LinkedIn-profiel genereren, dat bedoeld is om de pc-gebruiker te overtuigen van de legitimiteit van de jobaanbieding. De APT34 zou het beoogde slachtoffer een bericht sturen dat een bestand met de naam 'ERFT-Details.xls' zou bevatten met de lading van de malware. De malware die is gedropt, wordt de Tonedeaf-achterdeur genoemd en zou bij uitvoering onmiddellijk verbinding maken met de C&C-server (Command & Control) van de aanvaller. Dit wordt bereikt via POST- en HTTP GET-verzoeken. De Tonedeaf-malware kan:

• Upload bestanden.
• Bestanden downloaden.
• Verzamel informatie over het gecompromitteerde systeem.
• Voer shell-commando's uit.

Afgezien van zijn belangrijkste mogelijkheden, dient de Tonedeaf-achterdeur als toegangspoort voor de APT34 om meer malware op de geïnfecteerde host te installeren.

De groep is zeker niet blij met de controle over slechts één van de systemen van de gecompromitteerde organisatie. Ze werden gezien met behulp van tools voor het verzamelen van wachtwoorden om regelmatig toegang te krijgen tot inloggegevens en probeerden ze vervolgens te gebruiken om andere systemen op hetzelfde bedrijfsnetwerk te infiltreren.

De APT34 heeft de neiging om hacktools te gebruiken die ze voornamelijk hebben ontwikkeld, maar soms gebruikten ze ook openbaar beschikbare tools in hun campagnes.