APT34

APT34

APT34 (Advanced Persistent Threat) คือกลุ่มแฮ็คที่มีฐานอยู่ในอิหร่าน ซึ่งรู้จักกันในชื่อ OilRig, Helix Kitten และ Greenbug ผู้เชี่ยวชาญด้านมัลแวร์เชื่อว่ากลุ่มแฮ็ค APT34 ได้รับการสนับสนุนจากรัฐบาลอิหร่านและใช้เพื่อส่งเสริมผลประโยชน์ของอิหร่านทั่วโลก กลุ่มแฮ็ค APT34 ถูกพบครั้งแรกในปี 2014 กลุ่มแฮ็คที่ได้รับการสนับสนุนจากรัฐนี้มีแนวโน้มที่จะกำหนดเป้าหมายไปยังบริษัทและสถาบันต่างประเทศในอุตสาหกรรมพลังงาน การเงิน เคมี และการป้องกันประเทศ

ดำเนินงานในตะวันออกกลาง

กิจกรรมของ APT34 กระจุกตัวอยู่ในภูมิภาคตะวันออกกลางเป็นหลัก บ่อยครั้ง กลุ่มแฮ็คจะใช้ประโยชน์จากช่องโหว่ที่รู้จักในซอฟต์แวร์ที่ล้าสมัย อย่างไรก็ตาม APT34 ชอบที่จะเผยแพร่ภัยคุกคามโดยใช้เทคนิควิศวกรรมสังคม กลุ่มนี้เป็นที่รู้จักจากการใช้เทคนิคที่ไม่ค่อยพบเห็น เช่น การใช้โปรโตคอล DNS เพื่อสร้างช่องทางการสื่อสารระหว่างโฮสต์ที่ติดไวรัสและเซิร์ฟเวอร์ควบคุม พวกเขายังพึ่งพาเครื่องมือแฮ็คที่สร้างขึ้นเองเป็นประจำ แทนที่จะเลือกใช้เครื่องมือสาธารณะ

The Tonedeaf Backdoor

ในหนึ่งในแคมเปญล่าสุด APT34 กำหนดเป้าหมายพนักงานในภาคพลังงานรวมถึงบุคคลที่ทำงานในรัฐบาลต่างประเทศ APT34 สร้างเครือข่ายโซเชียลปลอมและปลอมแปลงเป็นตัวแทนของมหาวิทยาลัยเคมบริดจ์ที่ต้องการจ้างพนักงาน พวกเขาไปถึงขั้นสร้างโปรไฟล์ LinkedIn ปลอมซึ่งมีขึ้นเพื่อโน้มน้าวผู้ใช้พีซีถึงความชอบธรรมของข้อเสนองาน APT34 จะส่งข้อความไปยังเหยื่อที่เป็นเป้าหมาย ซึ่งจะมีไฟล์ชื่อ 'ERFT-Details.xls' ซึ่งบรรทุกส่วนของมัลแวร์ มัลแวร์ที่ถูกทิ้งเรียกว่าแบ็คดอร์ Tonedeaf และเมื่อดำเนินการจะเชื่อมต่อกับเซิร์ฟเวอร์ C&C (Command & Control) ของผู้โจมตีทันที ทำได้ผ่านคำขอ POST และ HTTP GET มัลแวร์ Tonedeaf สามารถ:

  • อัพโหลดไฟล์.
  • ดาวน์โหลดไฟล์.
  • รวบรวมข้อมูลเกี่ยวกับระบบที่ถูกบุกรุก
  • ดำเนินการคำสั่งเชลล์

นอกเหนือจากความสามารถหลักแล้ว แบ็คดอร์ Tonedeaf ยังทำหน้าที่เป็นเกตเวย์สำหรับ APT34 เพื่อวางมัลแวร์เพิ่มเติมบนโฮสต์ที่ติดไวรัส

กลุ่มนี้ไม่พอใจกับการควบคุมระบบเพียงระบบเดียวขององค์กรที่ถูกบุกรุก มีการพบเห็นพวกเขาใช้เครื่องมือรวบรวมรหัสผ่านเพื่อเข้าถึงข้อมูลรับรองการเข้าสู่ระบบเป็นประจำ จากนั้นจึงพยายามใช้เพื่อแทรกซึมระบบอื่นๆ ที่พบในเครือข่ายบริษัทเดียวกัน

APT34 มักจะใช้เครื่องมือแฮ็คที่พวกเขาพัฒนาขึ้นเป็นหลัก แต่บางครั้งพวกเขาก็ใช้เครื่องมือที่เปิดเผยต่อสาธารณะในแคมเปญด้วย

Trending

Loading...