APT34

APT34 (Advanced Persistent Threat) je hackerská skupina so sídlom v Iráne, ktorá je známa aj ako OilRig, Helix Kitten a Greenbug. Experti na malvér sa domnievajú, že hackerská skupina APT34 je sponzorovaná iránskou vládou a používa sa na globálne presadzovanie iránskych záujmov. Hackerská skupina APT34 bola prvýkrát zaznamenaná už v roku 2014. Táto štátom podporovaná hackerská skupina má tendenciu zameriavať sa na zahraničné korporácie a inštitúcie v energetickom, finančnom, chemickom a obrannom priemysle.

Pôsobí na Blízkom východe

Činnosť APT34 sa sústreďuje najmä v regióne Blízkeho východu. Hackerské skupiny často využívajú známe exploity v zastaranom softvéri. APT34 však uprednostňuje šírenie svojich hrozieb pomocou techník sociálneho inžinierstva. Skupina je známa tým, že používa zriedkavo vídané techniky - napríklad využíva protokol DNS na vytvorenie komunikačného kanála medzi infikovaným hostiteľom a riadiacim serverom. Pravidelne sa tiež spoliehajú na vlastné hackerské nástroje namiesto toho, aby sa rozhodli používať verejné.

The Tonedeaf Backdoor

V jednej zo svojich najnovších kampaní sa APT34 zameriava na zamestnancov v energetickom sektore, ako aj na jednotlivcov pracujúcich v zahraničných vládach. APT34 vybudoval falošnú sociálnu sieť a potom sa vydával za zástupcu Cambridgeskej univerzity, ktorá hľadá zamestnancov. Zašli dokonca tak ďaleko, že vygenerovali falošný LinkedIn profil, ktorý má presvedčiť užívateľa PC o oprávnenosti pracovnej ponuky. APT34 by poslal cielenej obeti správu, ktorá by obsahovala súbor s názvom 'ERFT-Details.xls' nesúci užitočné zaťaženie malvéru. Odpadnutý malvér sa nazýva zadné vrátka Tonedeaf a po spustení by sa okamžite pripojil k serveru C&C (Command & Control) útočníkov. To sa dosiahne prostredníctvom požiadaviek POST a HTTP GET. Malvér Tonedeaf je schopný:

• Nahrať súbory.
• Stiahnite si súbory.
• Zhromaždite informácie o napadnutom systéme.
• Vykonajte príkazy shellu.

Okrem svojich hlavných schopností slúži zadné vrátka Tonedeaf ako vstupná brána pre APT34 na umiestnenie väčšieho množstva malvéru na infikovanom hostiteľovi.

Skupina určite nie je spokojná s tým, že má kontrolu len nad jedným zo systémov ohrozenej organizácie. Boli videní, ako používajú nástroje na zhromažďovanie hesiel na pravidelný prístup k prihlasovacím povereniam a potom sa ich pokúšali použiť na infiltráciu do iných systémov nájdených v rovnakej firemnej sieti.

APT34 má tendenciu používať hackerské nástroje, ktoré vyvinuli hlavne oni, ale niekedy by vo svojich kampaniach použili aj verejne dostupné nástroje.