APT33

APT33 (Advanced Persistent Threat) датується 2013 роком. Дослідники зловмисного програмного забезпечення вважають, що хакерська група походить з Ірану і, ймовірно, буде спонсорована державою. Схоже, що зусилля хакерської групи APT33 зосереджені на просуванні інтересів іранського уряду, оскільки вони, як правило, спрямовані на конкуруючі галузі іноземних країн, часто в галузі аерокосмічної, оборонної та хімічної промисловості. Більшість їхніх кампаній зосереджені на трьох конкретних регіонах – Саудівській Аравії, США та Південній Кореї. Нерідкі випадки, коли уряди спонсорують хакерські групи та використовують їх для шпигунства та різних інших видів діяльності.

Останній напад був спрямований на Саудівську Аравію

APT33 докладає чимало зусиль для збереження анонімності, оскільки вони часто змінюють свої інструменти для злому, а також інфраструктуру, яку вони використовують. У березні 2019 року APT33 розпочав атаку на цілі в Саудівській Аравії за допомогою Nanocore RAT, і через деякий час після атаки вони повністю змінили свою інфраструктуру і припинили використовувати Nanocore RAT, а замість цього використовували новий RAT під назвою njRAT .

Величезна інфраструктура

Ще один з їх сумнозвісних інструментів злому - дроппер DropShot. Вони також використовували StoneDrill , свій саморобний склоочисник, який має деякі властивості зі склоочисником Shamoon 2. Деякі експерти припускають, що хакерська група APT33 має понад 1200 доменів і сотні серверів, які показують нам, наскільки велика їхня інфраструктура і як легко вони можуть обдурити експертів з кібербезпеки, просто перемикаючи маршрути.

Окрім розробки власних інструментів злому, APT33 часто використовує переваги загальнодоступних інструментів, таких як AdwindRAT, SpyNet, RevengerRAT , DarkComet та багатьох інших. Цілком імовірно, що APT33 продовжить свою діяльність у майбутньому і, ймовірно, продовжить розширювати свою інфраструктуру, а також свій арсенал.