APT33

APT33 (Advanced Persistent Threat) восходит к 2013 году. Исследователи вредоносных программ считают, что хакерская группа происходит из Ирана и, вероятно, спонсируется государством. Похоже, что усилия хакерской группы APT33 сосредоточены на продвижении интересов иранского правительства, поскольку они, как правило, нацелены на конкурирующие отрасли зарубежных стран, часто в области аэрокосмической, оборонной и химической промышленности. Большинство их кампаний сосредоточено на трех конкретных регионах — Саудовской Аравии, США и Южной Корее. Правительства нередко спонсируют хакерские группы и используют их для шпионажа и других видов деятельности.

Последняя атака была нацелена на Саудовскую Аравию

APT33 прилагает немало усилий, чтобы оставаться анонимными, поскольку они часто меняют свои хакерские инструменты, а также используемую ими инфраструктуру. В марте 2019 года APT33 начали атаку на цели в Саудовской Аравии с использованием Nanocore RAT, и вскоре после атаки они полностью изменили свою инфраструктуру и прекратили использование Nanocore RAT, а вместо этого использовали новую RAT под названием njRAT .

Обширная инфраструктура

Еще одним из их печально известных хакерских инструментов является дроппер DropShot. Они также использовали StoneDrill , самодельный очиститель дисков, который имеет некоторые общие свойства со очистителем Shamoon 2. Некоторые эксперты предполагают, что хакерская группа APT33 имеет более 1200 доменов и сотни серверов, что показывает нам, насколько обширна их инфраструктура и как легко они могут обмануть экспертов по кибербезопасности, просто переключая маршруты.

Помимо разработки собственных хакерских инструментов, APT33 часто использует общедоступные инструменты, такие как AdwindRAT, SpyNet, RevengeRAT , DarkComet и многие другие. Вполне вероятно, что APT33 продолжит свою деятельность в будущем и, вероятно, продолжит расширять свою инфраструктуру, а также свой арсенал.