APT34

O APT34 (Ameaça Persistente Avançada) é um grupo de hackers baseado no Irã, também conhecido como OilRig, Helix Kitten e Greenbug. Os especialistas em malware acreditam que o grupo de hackers APT34 é patrocinado pelo governo iraniano e é usado para promover interesses iranianos em todo o mundo. O grupo de hackers APT34 foi visto pela primeira vez em 2014. Esse grupo de hackers patrocinado pelo Estado tende a atingir empresas e instituições estrangeiras nos setores de energia, financeiro, químico e de defesa.

Opera no Oriente Médio

A atividade do APT34 está concentrada principalmente na região do Oriente Médio. Freqüentemente, grupos de hackers exploravam explorações conhecidas em softwares desatualizados. No entanto, o APT34 prefere propagar suas ameaças usando técnicas de engenharia social. O grupo é conhecido pelo uso de técnicas raramente vistas - por exemplo, empregando o protocolo DNS para estabelecer um canal de comunicação entre o host infectado e o servidor de controle. Eles também contam com ferramentas de hackers criadas regularmente, em vez de optar por usar ferramentas públicas.

O Backdoor Tonedeaf

Em uma de suas campanhas mais recentes, o APT34 tem como alvo funcionários do setor de energia e pessoas que trabalham em governos estrangeiros. O APT34 construiu uma rede social falsa e, em seguida, se apresentou como um representante da Universidade de Cambridge que procura contratar funcionários. Eles chegaram a gerar um perfil falso no LinkedIn, que deve convencer o usuário de PC da legitimidade da oferta de emprego. O APT34 enviaria à vítima alvo uma mensagem que conteria um arquivo chamado 'ERFT-Details.xls' carregando a carga útil do malware. O malware eliminado é chamado de backdoor Tonedeaf e, após a execução, se conectaria imediatamente ao servidor dd C&C (Comando e Controle) do invasor. Isso é obtido via solicitações POST e HTTP GET. O malware Tonedeaf é capaz de:

• Fazer upload de arquivos.
• Baixar arquivos.
• Reunir informações sobre o sistema comprometido.
• Executar comandos do shell.

Além de seus principais recursos, o backdoor Tonedeaf serve como um gateway para o APT34 plantar mais malware no host infectado.

O grupo certamente não está satisfeito em ter controle sobre apenas um dos sistemas da organização comprometida. Eles foram vistos usando ferramentas de coleta de senha para acessar credenciais de login regularmente e, em seguida, tentam usá-las para se infiltrar em outros sistemas encontrados na mesma rede da empresa.

O APT34 tende a usar ferramentas de hackers que eles desenvolveram principalmente, mas às vezes também empregam ferramentas publicamente disponíveis em suas campanhas.