APT34

APT34 (Advanced Persistent Threat) — це іранська хакерська група, також відома як OilRig, Helix Kitten і Greenbug. Експерти зі шкідливого програмного забезпечення вважають, що хакерська група APT34 спонсорується іранським урядом і використовується для підтримки інтересів Ірану в усьому світі. Хакерська група APT34 була вперше помічена ще у 2014 році. Ця хакерська група, спонсорована державою, зазвичай спрямована на іноземні корпорації та установи в енергетичній, фінансовій, хімічній та оборонній промисловості.

Діє на Близькому Сході

Діяльність APT34 зосереджена в основному в регіоні Близького Сходу. Часто хакерські групи використовують відомі експлойти в застарілому програмному забезпеченні. Однак APT34 воліє поширювати свої загрози за допомогою методів соціальної інженерії. Група відома тим, що використовує рідко зустрічаються прийоми - наприклад, використовує протокол DNS для встановлення каналу зв'язку між зараженим хостом і сервером керування. Вони також регулярно покладаються на саморобні інструменти злому, замість того, щоб використовувати загальнодоступні.

Бэкдор Tonedeaf

В одній із останніх кампаній APT34 націлена на працівників енергетичного сектору, а також на осіб, які працюють в іноземних урядах. APT34 створив фіктивну соціальну мережу, а потім видався за представника Кембриджського університету, який прагне найняти персонал. Вони навіть зайшли так далеко, щоб створити підроблений профіль LinkedIn, який має на меті переконати користувача ПК у законності пропозиції роботи. APT34 надсилатиме цільовій жертві повідомлення, яке міститиме файл під назвою «ERFT-Details.xls», що містить корисне навантаження зловмисного програмного забезпечення. Зловмисне програмне забезпечення називається бекдором Tonedeaf, і після його запуску він негайно підключається до сервера C&C (Command & Control) зловмисника. Це досягається за допомогою запитів POST і HTTP GET. Шкідливе програмне забезпечення Tonedeaf здатне:

• Завантажте файли.
• Завантажити файли.
• Зберіть інформацію про зламану систему.
• Виконувати команди оболонки.

Крім своїх основних можливостей, бекдор Tonedeaf служить шлюзом для APT34, щоб розмістити більше шкідливих програм на зараженому хості.

Група, безумовно, не задоволена тим, що має контроль лише над однією з систем скомпрометованої організації. Було помічено, що вони використовували інструменти для збору паролів для регулярного доступу до облікових даних для входу, а потім намагалися використати їх для проникнення в інші системи, знайдені в тій самій мережі компанії.

APT34, як правило, використовує інструменти злому, які вони в основному розробили, але іноді вони також використовують загальнодоступні інструменти у своїх кампаніях.