APT34

APT34 (Advanced Persistent Threat) — это базирующаяся в Иране хакерская группа, также известная как OilRig, Helix Kitten и Greenbug. Эксперты по вредоносным программам считают, что хакерская группа APT34 спонсируется правительством Ирана и используется для продвижения иранских интересов во всем мире. Хакерская группа APT34 была впервые обнаружена еще в 2014 году. Эта спонсируемая государством хакерская группа нацелена на иностранные корпорации и учреждения в энергетической, финансовой, химической и оборонной отраслях.

Работает на Ближнем Востоке

Деятельность APT34 сосредоточена в основном в регионе Ближнего Востока. Часто хакерские группы использовали известные эксплойты в устаревшем программном обеспечении. Однако APT34 предпочитает распространять свои угрозы с помощью методов социальной инженерии. Группа известна тем, что использует редко встречающиеся методы — например, использование протокола DNS для установления канала связи между зараженным хостом и управляющим сервером. Они также регулярно полагаются на самодельные хакерские инструменты, вместо того, чтобы использовать общедоступные.

Задняя дверь Tonedeaf

В одной из своих последних кампаний APT34 нацелена на сотрудников энергетического сектора, а также на лиц, работающих в иностранных правительствах. APT34 создал фиктивную социальную сеть, а затем представился представителем Кембриджского университета, который ищет сотрудников. Они даже зашли так далеко, что создали поддельный профиль LinkedIn, который призван убедить пользователя ПК в легитимности предложения о работе. APT34 отправляет целевой жертве сообщение, содержащее файл с именем «ERFT-Details.xls», содержащий полезную нагрузку вредоносного ПО. Сброшенное вредоносное ПО называется бэкдором Tonedeaf и после запуска немедленно подключается к серверу C&C (Command & Control) злоумышленников. Это достигается с помощью запросов POST и HTTP GET. Вредоносная программа Tonedeaf способна:

• Загрузить файлы.
• Скачать файлы.
• Соберите информацию о скомпрометированной системе.
• Выполнение команд оболочки.

Помимо своих основных возможностей, бэкдор Tonedeaf служит шлюзом для APT34, который позволяет внедрять больше вредоносных программ на зараженный хост.

Группа определенно недовольна тем, что имеет контроль только над одной из скомпрометированных систем организации. Было замечено, что они использовали инструменты для сбора паролей для регулярного доступа к учетным данным для входа, а затем пытались использовать их для проникновения в другие системы, обнаруженные в той же сети компании.

APT34, как правило, использует в основном разработанные ими хакерские инструменты, но иногда они также используют общедоступные инструменты в своих кампаниях.