APT34

APT34

APT34 (Advanced Persistent Threat) este un grup de hacking din Iran, cunoscut și sub numele de OilRig, Helix Kitten și Greenbug. Experții în malware consideră că grupul de hacking APT34 este sponsorizat de guvernul iranian și este folosit pentru a promova interesele iraniene la nivel global. Grupul de hacking APT34 a fost observat pentru prima dată în 2014. Acest grup de hacking sponsorizat de stat tinde să vizeze corporații și instituții străine din industriile energetice, financiare, chimice și de apărare.

Funcționează în Orientul Mijlociu

Activitatea APT34 este concentrată în principal în regiunea Orientului Mijlociu. Adesea, grupurile de hacking ar exploata exploatările cunoscute în software-ul învechit. Cu toate acestea, APT34 preferă să-și propage amenințările folosind tehnici de inginerie socială. Grupul este cunoscut pentru utilizarea tehnicilor rar întâlnite - de exemplu, folosind protocolul DNS pentru a stabili un canal de comunicare între gazda infectată și serverul de control. De asemenea, se bazează în mod regulat pe instrumente de hacking create de sine, în loc să opteze pentru a le folosi pe cele publice.

The Tonedeaf Backdoor

Într-una dintre cele mai recente campanii, APT34 vizează angajații din sectorul energetic, precum și persoanele care lucrează în guverne străine. APT34 a construit o rețea socială falsă și apoi s-a pozat ca un reprezentant al Universității Cambridge care caută să angajeze personal. Au mers chiar și până la generarea unui profil LinkedIn fals, care are menirea de a convinge utilizatorul de PC de legitimitatea ofertei de muncă. APT34 ar trimite victimei vizate un mesaj care ar conține un fișier numit „ERFT-Details.xls” care conține sarcina utilă a malware-ului. Malware-ul aruncat se numește backdoor Tonedeaf și, la execuție, se va conecta imediat la serverul C&C (Command & Control) atacatorilor. Acest lucru se realizează prin solicitări POST și HTTP GET. Programul malware Tonedeaf este capabil să:

  • Încărca fișiere.
  • Descărcați fișiere.
  • Adunați informații despre sistemul compromis.
  • Executați comenzi shell.

În afară de principalele sale capabilități, ușa din spate Tonedeaf servește ca o poartă pentru APT34 pentru a planta mai multe programe malware pe gazda infectată.

Cu siguranță, grupul nu este mulțumit de controlul asupra unuia dintre sistemele organizației compromise. Ei au fost văzuți folosind instrumente de colectare a parolelor pentru a accesa datele de conectare în mod regulat și apoi au încercat să le folosească pentru a se infiltra în alte sisteme găsite în aceeași rețea a companiei.

APT34 tinde să folosească instrumente de hacking pe care le-au dezvoltat în principal, dar uneori ar folosi instrumente disponibile public și în campaniile lor.

Trending

Loading...