APT34

APT34 Opis

APT34 (Advanced Persistent Threat) je hekerska skupina s sedežem v Iranu, ki je znana tudi kot OilRig, Helix Kitten in Greenbug. Strokovnjaki za zlonamerno programsko opremo menijo, da hekersko skupino APT34 sponzorira iranska vlada in se uporablja za spodbujanje iranskih interesov po vsem svetu. Hekerska skupina APT34 je bila prvič opažena že leta 2014. Ta hekerska skupina, ki jo sponzorira država, je usmerjena v tuje korporacije in institucije v energetski, finančni, kemični in obrambni industriji.

Deluje na Bližnjem vzhodu

Dejavnost APT34 je koncentrirana predvsem v regiji Bližnjega vzhoda. Hekerske skupine pogosto izkoriščajo znane podvige v zastareli programski opremi. Vendar pa APT34 svoje grožnje raje širi z uporabo tehnik socialnega inženiringa. Skupina je znana po uporabi redko videnih tehnik – na primer uporaba protokola DNS za vzpostavitev komunikacijskega kanala med okuženim gostiteljem in nadzornim strežnikom. Redno se zanašajo tudi na lastno izdelana hekerska orodja, namesto da bi se odločili za uporabo javnih.

Tonedeaf Backdoor

V eni od svojih zadnjih kampanj je APT34 namenjen zaposlenim v energetskem sektorju in posameznikom, ki delajo v tujih vladah. APT34 je zgradil lažno socialno omrežje in se nato predstavljal kot predstavnik univerze Cambridge, ki želi najeti osebje. Šli so celo tako daleč, da so ustvarili lažni profil LinkedIn, ki naj bi uporabnika osebnega računalnika prepričal o legitimnosti ponudbe za delo. APT34 bi ciljni žrtvi poslal sporočilo, ki bi vsebovalo datoteko z imenom 'ERFT-Details.xls', ki vsebuje koristno obremenitev zlonamerne programske opreme. Odstranjena zlonamerna programska oprema se imenuje backdoor Tonedeaf in se po izvedbi takoj poveže s strežnikom C&C (Command & Control) napadalca. To se doseže z zahtevami POST in HTTP GET. Zlonamerna programska oprema Tonedeaf lahko:

  • Naložite datoteke.
  • Prenesite datoteke.
  • Zberite informacije o ogroženem sistemu.
  • Izvedite ukaze lupine.

Poleg svojih glavnih zmogljivosti, zaledna vrata Tonedeaf služijo kot prehod za APT34, da na okuženega gostitelja posadi več zlonamerne programske opreme.

Skupina zagotovo ni zadovoljna z nadzorom le nad enim od sistemov ogrožene organizacije. Videli so jih, da uporabljajo orodja za zbiranje gesel za redni dostop do poverilnic za prijavo in jih nato poskušajo uporabiti za infiltriranje v druge sisteme v istem omrežju podjetja.

APT34 ponavadi uporablja orodja za vdiranje, ki so jih v glavnem razvili, včasih pa bi v svojih kampanjah uporabili tudi javno dostopna orodja.