АПТ34

АПТ34 (Адванцед Персистент Тхреат) је хакерска група са седиштем у Ирану која је такође позната као ОилРиг, Хелик Киттен и Греенбуг. Стручњаци за малвер верују да хакерску групу АПТ34 спонзорише иранска влада и да се користи за унапређење иранских интереса на глобалном нивоу. Хакерска група АПТ34 је први пут примећена још 2014. Ова хакерска група коју спонзорише држава има тенденцију да циља стране корпорације и институције у енергетској, финансијској, хемијској и одбрамбеној индустрији.

Делује на Блиском истоку

Активност АПТ34 концентрисана је углавном у региону Блиског истока. Често би хакерске групе искористиле познате експлоатације у застарелом софтверу. Међутим, АПТ34 радије пропагира своје претње користећи технике друштвеног инжењеринга. Група је позната по томе што користи ретко виђене технике – на пример, коришћење ДНС протокола за успостављање комуникационог канала између зараженог хоста и контролног сервера. Такође се редовно ослањају на алате за хаковање које су сами направили, уместо да се одлуче да користе јавне.

Тхе Тонедеаф Бацкдоор

У једној од својих најновијих кампања, АПТ34 циља на запослене у енергетском сектору, као и на појединце који раде у страним владама. АПТ34 је направио лажну друштвену мрежу, а затим се представио као представник Универзитета Кембриџ који жели да запосли особље. Отишли су чак и до генерисања лажног ЛинкедИн профила, који треба да убеди корисника рачунара у легитимност понуде за посао. АПТ34 би послао циљаној жртви поруку која би садржала датотеку под називом 'ЕРФТ-Детаилс.клс' која носи садржај малвера. Отпуштени злонамерни софтвер се зове Тонедеаф бацкдоор и по извршењу би се одмах повезао са Ц&Ц (Цомманд & Цонтрол) сервером нападача. Ово се постиже путем ПОСТ и ХТТП ГЕТ захтева. Малвер Тонедеаф може:

• Додај фајлове.
• Преузмите датотеке.
• Прикупите информације о компромитованом систему.
• Извршите команде љуске.

Поред својих главних могућности, позадинска врата Тонедеаф служи као капија за АПТ34 за постављање више малвера на заражени хост.

Група свакако није задовољна што има контролу само над једним од система компромитоване организације. Виђени су како користе алате за прикупљање лозинки како би редовно приступали акредитивима за пријаву, а затим покушавали да их користе за инфилтрирање у друге системе који се налазе на мрежи исте компаније.

АПТ34 има тенденцију да користи хакерске алате које су углавном развили, али понекад би користили и јавно доступне алате у својим кампањама.