APT34

APT34 (Advanced Persistent Threat) är en Iran-baserad hackargrupp som också är känd som OilRig, Helix Kitten och Greenbug. Malwareexperter tror att APT34-hackargruppen är sponsrad av den iranska regeringen och används för att främja iranska intressen globalt. APT34-hackargruppen upptäcktes första gången 2014. Denna statligt sponsrade hackningsgrupp tenderar att rikta sig mot utländska företag och institutioner inom energi-, finans-, kemi- och försvarsindustrin.

Verksam i Mellanöstern

APT34:s verksamhet är huvudsakligen koncentrerad till regionen i Mellanöstern. Ofta skulle hackningsgrupper utnyttja kända exploateringar i föråldrad programvara. APT34 föredrar dock att sprida sina hot med hjälp av social ingenjörsteknik. Gruppen är känd för sin användning av sällan skådade tekniker - till exempel att använda DNS-protokollet för att etablera en kommunikationskanal mellan den infekterade värden och kontrollservern. De förlitar sig också på egentillverkade hackverktyg regelbundet, istället för att välja att använda offentliga.

The Tonedeaf Bakdörr

I en av sina senaste kampanjer riktar APT34 sig till anställda inom energisektorn såväl som individer som arbetar i utländska regeringar. APT34 byggde ett falskt socialt nätverk och poserade sedan som en representant för Cambridge University som vill anställa personal. De har till och med gått så långt som att skapa en falsk LinkedIn-profil, som är tänkt att övertyga PC-användaren om legitimiteten i jobberbjudandet. APT34 skulle skicka ett meddelande till offret som skulle innehålla en fil som heter 'ERFT-Details.xls' som bär nyttolasten av skadlig programvara. Den skadliga programvaran som släpps kallas Tonedeaf-bakdörren och skulle vid körning ansluta till angriparens C&C-server (Command & Control) omedelbart. Detta uppnås via POST och HTTP GET-förfrågningar. Tonedeaf skadlig programvara kan:

• Ladda upp filer.
• Ladda ner filer.
• Samla information om det komprometterade systemet.
• Utför skalkommandon.

Bortsett från dess huvudsakliga funktioner, fungerar Tonedeaf-bakdörren som en inkörsport för APT34 för att plantera mer skadlig programvara på den infekterade värden.

Gruppen är verkligen inte nöjd med att ha kontroll över bara ett av den komprometterade organisationens system. De sågs använda verktyg för att samla in lösenord för att komma åt inloggningsuppgifter regelbundet och sedan försöka använda dem för att infiltrera andra system som finns på samma företagsnätverk.

APT34 brukar använda hackningsverktyg som de huvudsakligen har utvecklat, men ibland använder de också allmänt tillgängliga verktyg i sina kampanjer.