APT34

APT34 (Gelişmiş Kalıcı Tehdit), OilRig, Helix Kitten ve Greenbug olarak da bilinen İran merkezli bir bilgisayar korsanlığı grubudur. Kötü amaçlı yazılım uzmanları, APT34 hack grubunun İran hükümeti tarafından desteklendiğine ve İran'ın dünya çapında çıkarlarını ilerletmek için kullanıldığına inanıyor. APT34 hack grubu ilk olarak 2014'te tespit edildi. Devlet destekli bu hack grubu, enerji, finans, kimya ve savunma endüstrilerindeki yabancı şirket ve kurumları hedef alma eğilimindedir.

Ortadoğu'da faaliyet gösteriyor

APT34'ün faaliyeti esas olarak Orta Doğu bölgesinde yoğunlaşmıştır. Çoğu zaman, bilgisayar korsanlığı grupları, eski yazılımlardaki bilinen açıklardan yararlanır. Ancak APT34, tehditlerini sosyal mühendislik tekniklerini kullanarak yaymayı tercih ediyor. Grup, nadiren görülen teknikleri kullanmalarıyla bilinir - örneğin, virüs bulaşmış ana bilgisayar ile kontrol sunucusu arasında bir iletişim kanalı oluşturmak için DNS protokolünü kullanmak. Ayrıca, halka açık olanları kullanmayı tercih etmek yerine, düzenli olarak kendi yaptıkları hack araçlarına güvenirler.

Tonedeaf Arka Kapı

APT34, en son kampanyalarından birinde, enerji sektöründeki çalışanları ve yabancı hükümetlerde çalışan bireyleri hedefliyor. APT34 sahte bir sosyal ağ kurdu ve ardından personel kiralamak isteyen Cambridge Üniversitesi'nin bir temsilcisi olarak poz verdi. Hatta PC kullanıcısını iş teklifinin meşruiyetine ikna etmek için sahte bir LinkedIn profili oluşturmaya kadar gittiler. APT34, hedeflenen kurbana, kötü amaçlı yazılımın yükünü taşıyan 'ERFT-Details.xls' adlı bir dosya içeren bir mesaj gönderir. Bırakılan kötü amaçlı yazılıma Tonedeaf arka kapısı denir ve yürütüldüğünde saldırganın C&C (Komut ve Kontrol) sunucusuna hemen bağlanır. Bu, POST ve HTTP GET istekleri aracılığıyla gerçekleştirilir. Tonedeaf kötü amaçlı yazılımı şunları yapabilir:

• Dosyaları yükle.
• Dosyaları indir.
• Güvenliği ihlal edilmiş sistem hakkında bilgi toplayın.
• Kabuk komutlarını yürütün.

Ana yeteneklerinin yanı sıra, Tonedeaf arka kapısı, APT34'ün virüslü ana bilgisayara daha fazla kötü amaçlı yazılım yerleştirmesi için bir ağ geçidi görevi görür.

Grup, güvenliği ihlal edilmiş organizasyonun sistemlerinden sadece biri üzerinde kontrol sahibi olmaktan kesinlikle memnun değil. Oturum açma kimlik bilgilerine düzenli olarak erişmek için parola toplama araçlarını kullandıkları ve ardından bunları aynı şirket ağında bulunan diğer sistemlere sızmak için kullanmaya çalıştıkları görüldü.

APT34, esas olarak geliştirdikleri bilgisayar korsanlığı araçlarını kullanma eğilimindedir, ancak bazen kampanyalarında halka açık araçları da kullanırlar.