APT34

APT34 Përshkrimi

APT34 (Kërcënimi i Përparuar i Përhershëm) është një grup hakerimi me bazë në Iran, i njohur gjithashtu si OilRig, Helix Kitten dhe Greenbug. Ekspertët e malware besojnë se grupi i hakerëve APT34 sponsorizohet nga qeveria iraniane dhe përdoret për të çuar përpara interesat iraniane në nivel global. Grupi i hakerëve APT34 u zbulua për herë të parë në vitin 2014. Ky grup hakerash i sponsorizuar nga shteti tenton të synojë korporatat dhe institucionet e huaja në industrinë e energjisë, financiare, kimike dhe të mbrojtjes.

Operon në Lindjen e Mesme

Aktiviteti i APT34 është i përqendruar kryesisht në rajonin e Lindjes së Mesme. Shpesh, grupet e hakerave do të shfrytëzonin shfrytëzime të njohura në softuerët e vjetëruar. Sidoqoftë, APT34 preferon të përhapë kërcënimet e tyre duke përdorur teknika të inxhinierisë sociale. Grupi është i njohur për përdorimin e tyre të teknikave që shihen rrallë - për shembull, duke përdorur protokollin DNS për të krijuar një kanal komunikimi midis hostit të infektuar dhe serverit të kontrollit. Ata gjithashtu mbështeten rregullisht në mjetet e hakerimit të krijuar nga vetë, në vend që të zgjedhin të përdorin ato publike.

Dera e pasme e shurdhër

Në një nga fushatat e tij të fundit, APT34 synon punonjësit në sektorin e energjisë, si dhe individët që punojnë në qeveri të huaja. APT34 ndërtoi një rrjet social fals dhe më pas pozoi si përfaqësues i Universitetit të Kembrixhit që kërkon të punësojë staf. Ata madje kanë arritur deri në krijimin e një profili të rremë LinkedIn, i cili synon të bindë përdoruesin e PC për legjitimitetin e ofertës së punës. APT34 do t'i dërgonte viktimës së synuar një mesazh i cili do të përmbante një skedar të quajtur 'ERFT-Details.xls' që mbante ngarkesën e malware. Malware-i i hedhur quhet "backdoor" Tonedeaf dhe pas ekzekutimit do të lidhej menjëherë me serverin C&C (Command & Control) të sulmuesve. Kjo arrihet nëpërmjet kërkesave POST dhe HTTP GET. Malware Tonedeaf është në gjendje të:

  • Ngarko skedarë.
  • Shkarko skedarët.
  • Mblidhni informacione rreth sistemit të komprometuar.
  • Ekzekutoni komandat e guaskës.

Përveç aftësive të tij kryesore, porta e pasme Tonedeaf shërben si një portë për APT34 për të vendosur më shumë malware në hostin e infektuar.

Grupi sigurisht nuk është i kënaqur me kontrollin e vetëm një prej sistemeve të organizatës së komprometuar. Ata u panë duke përdorur mjete për mbledhjen e fjalëkalimeve për të hyrë rregullisht në kredencialet e hyrjes dhe më pas u përpoqën t'i përdorin ato për të depërtuar në sisteme të tjera që gjenden në të njëjtin rrjet kompanie.

APT34 tenton të përdorë mjete hakerimi që ata kanë zhvilluar kryesisht, por ndonjëherë ata do të përdorin mjete të disponueshme publikisht edhe në fushatat e tyre.