APT34

APT34

Ang APT34 (Advanced Persistent Threat) ay isang Iran-based hacking group na kilala rin bilang OilRig, Helix Kitten, at Greenbug. Naniniwala ang mga dalubhasa sa malware na ang APT34 hacking group ay itinataguyod ng gobyerno ng Iran at ginagamit upang palawakin ang mga interes ng Iran sa buong mundo. Ang APT34 hacking group ay unang nakita noong 2014. Ang state-sponsored hacking group na ito ay may posibilidad na i-target ang mga dayuhang korporasyon at institusyon sa mga industriya ng enerhiya, pananalapi, kemikal, at pagtatanggol.

Gumagana sa Gitnang Silangan

Ang aktibidad ng APT34 ay puro sa rehiyon ng Gitnang Silangan pangunahin. Kadalasan, sasamantalahin ng mga grupo ng pag-hack ang mga kilalang pagsasamantala sa lumang software. Gayunpaman, mas pinipili ng APT34 na ipalaganap ang kanilang mga banta gamit ang mga diskarte sa social engineering. Ang grupo ay kilala sa kanilang paggamit ng mga bihirang nakikitang pamamaraan - halimbawa, ang paggamit ng DNS protocol upang magtatag ng channel ng komunikasyon sa pagitan ng infected na host at ng control server. Regular din silang umaasa sa mga self-made na tool sa pag-hack, sa halip na piliin na gumamit ng mga pampubliko.

Ang Tonedeaf Backdoor

Sa isa sa mga pinakabagong kampanya nito, tina-target ng APT34 ang mga empleyado sa sektor ng enerhiya pati na rin ang mga indibidwal na nagtatrabaho sa mga dayuhang pamahalaan. Ang APT34 ay nagtayo ng isang pekeng social network at pagkatapos ay nagpanggap bilang isang kinatawan ng Cambridge University na naghahanap ng mga kawani. Nakarating pa sila hanggang sa pagbuo ng isang pekeng profile sa LinkedIn, na nilalayong kumbinsihin ang gumagamit ng PC sa pagiging lehitimo ng alok ng trabaho. Ang APT34 ay magpapadala sa target na biktima ng isang mensahe na naglalaman ng isang file na tinatawag na 'ERFT-Details.xls' na nagdadala ng payload ng malware. Ang malware na nalaglag ay tinatawag na Tonedeaf backdoor at kapag naisakatuparan ay agad na kumonekta sa attackers na C&C (Command & Control) server. Ito ay nakakamit sa pamamagitan ng POST, at HTTP GET na mga kahilingan. Nagagawa ng Tonedeaf malware na:

  • Mag-upload ng mga file.
  • Mag-download ng mga file.
  • Mangalap ng impormasyon tungkol sa nakompromisong sistema.
  • Isagawa ang mga utos ng shell.

Bukod sa mga pangunahing kakayahan nito, ang Tonedeaf backdoor ay nagsisilbing gateway para sa APT34 na magtanim ng mas maraming malware sa infected na host.

Tiyak na hindi nasisiyahan ang grupo sa pagkakaroon ng kontrol sa isa lamang sa mga sistema ng nakompromisong organisasyon. Nakita silang gumagamit ng mga tool sa pagkolekta ng password upang regular na ma-access ang mga kredensyal sa pag-log in at pagkatapos ay subukan at gamitin ang mga ito upang makalusot sa iba pang mga system na matatagpuan sa parehong network ng kumpanya.

Ang APT34 ay may posibilidad na gumamit ng mga tool sa pag-hack na pangunahin nilang binuo, ngunit kung minsan ay gumagamit din sila ng mga tool na magagamit sa publiko sa kanilang mga kampanya.

Loading...