APT33

APT33 (Advanced Persistent Threat) pochodzi z 2013 roku. Badacze szkodliwego oprogramowania uważają, że grupa hakerska pochodzi z Iranu i prawdopodobnie będzie sponsorowana przez państwo. Wygląda na to, że wysiłki grupy hakerskiej APT33 koncentrują się na wspieraniu interesów rządu irańskiego, ponieważ mają one tendencję do atakowania konkurujących branż zagranicznych krajów, często w dziedzinie lotnictwa, obrony i chemikaliów. Większość ich kampanii koncentruje się na trzech konkretnych regionach – Arabii Saudyjskiej, Stanach Zjednoczonych i Korei Południowej. Nierzadko rządy sponsorują grupy hakerskie i zatrudniają je do szpiegostwa i różnych innych działań.

Najnowszy atak wymierzony w Arabię Saudyjską

APT33 wkłada sporo wysiłku w zachowanie anonimowości, ponieważ często zmieniają swoje narzędzia hakerskie, a także infrastrukturę, z której korzystają. W marcu 2019 r. APT33 przypuścił atak na cele w Arabii Saudyjskiej za pomocą Nanocore RAT i krótko po ataku całkowicie zmienili swoją infrastrukturę i przestali używać Nanocore RAT, a zamiast tego zastosowali nowy RAT o nazwie njRAT .

Rozległa infrastruktura

Kolejnym z ich niesławnych narzędzi hakerskich jest dropper DropShot. Użyli również StoneDrill , własnej wycieraczki dyskowej, która ma pewne właściwości z wycieraczką Shamoon 2. Niektórzy eksperci spekulują, że grupa hakerska APT33 ma ponad 1200 domen i setki serwerów, co pokazuje nam, jak rozległa jest ich infrastruktura i jak łatwo mogą oszukać ekspertów od cyberbezpieczeństwa, po prostu zmieniając trasy.

Oprócz opracowywania własnych narzędzi hakerskich, APT33 często korzysta z publicznie dostępnych narzędzi, takich jak AdwindRAT, SpyNet, RevengeRAT , DarkComet i wiele innych. Jest prawdopodobne, że APT33 będzie kontynuował swoją działalność w przyszłości i prawdopodobnie będzie kontynuował rozbudowę swojej infrastruktury oraz arsenału.