TONEDEAF

O APT34 (Ameaça Persistente Avançada) é um grupo de hackers originário do Irã. Eles também são conhecidos sob os pseudônimos Helix Kitten, OilRig e Greenbug. Acredita-se, em grande parte, que o grupo de hackers APT34 seja patrocinado pelo governo Iraniano e receba frequentemente tarefas para realizar, o que aumentaria os interesses iranianos com a maioria dos esforços concentrados na região do Oriente Médio. Freqüentemente, o grupo de hackers APT34 visava empresas nas indústrias de defesa, química, energia e finanças.

Propagação via Engenharia Social

O grupo de hackers APT34 costumava empregar táticas de engenharia social como forma de propagar suas ameaças. É o caso do Trojan backdoor TONEDEAF. Os membros do APT34 montariam perfis falsos no LinkedIn, fingindo ser cientistas respeitáveis. Depois que eles estabelecem uma conexão com a vítima visada, o grupo de hackers APT34 envia a eles um documento do Microsoft Office que deve aparecer como um documento de pesquisa legítimo. Se o usuário se interessar por seus truques e abrir o anexo com macros, eles acionariam a execução do Trojan TONEDEAF.

Pode Operar Silenciosamente

Freqüentemente, o APT34 usava o Trojan backdoor TONEDEAF simplesmente como uma carga útil de primeiro estágio, o que facilitaria o plantio de malware adicional no host infectado. Para ficar potencialmente sob o radar das ferramentas antimalware, o backdoor do TONEDEAF pode se comunicar com o servidor dos atacantes por meio de protocolos DNS. Apesar de ser uma maneira muito menos eficiente de estabelecer uma conexão com o servidor do invasor, pois reduz os recursos da ameaça, torna a operação muito menos barulhenta. No entanto, a comunicação DNS ainda não está ativa e o TONEDEAF continua a confiar no protocolo HTTP para entrar em contato com o servidor de Comando e Controle.

Uma vez que o Trojan TONEDEAF estiver no sistema, ele permitirá que os atacantes:

• Coletem informações do sistema.
• Executem comandos do shell.
• Baixem arquivos adicionais.

As amostras do backdoor TONEDEAF analisadas pelos pesquisadores de segurança cibernética pareciam apresentar um servidor Comando e Controle codificado. No entanto, não se surpreenda se o agente de ameaças do APT34 optar por melhorar isso no futuro. O grupo de hackers APT34 é muito ativo e possui um arsenal de ferramentas de hackers em constante evolução. Como eles são patrocinados pelo estado, não é provável que eles parem as operações tão cedo. É muito importante que você tenha instalado um pacote de software antivírus legítimo, que o manteria protegido de ameaças em potencial como o Trojan TONEDEAF.