APT33

APT33 Description

APT33 (Mối đe dọa liên tục nâng cao) có từ năm 2013. Các nhà nghiên cứu phần mềm độc hại tin rằng nhóm tấn công bắt nguồn từ Iran và có khả năng được nhà nước bảo trợ. Có vẻ như các nỗ lực của nhóm hack APT33 đang tập trung vào việc thúc đẩy hơn nữa lợi ích của chính phủ Iran khi họ có xu hướng nhắm mục tiêu vào các ngành công nghiệp cạnh tranh của nước ngoài thường trong lĩnh vực hàng không vũ trụ, quốc phòng và hóa chất. Hầu hết các chiến dịch của họ tập trung vào ba khu vực cụ thể - Ả Rập Saudi, Hoa Kỳ và Hàn Quốc. Không có gì lạ khi các chính phủ tài trợ cho các nhóm hack và sử dụng chúng cho các hoạt động gián điệp và nhiều hoạt động khác.

Cuộc tấn công mới nhất nhằm vào Ả Rập Xê Út

APT33 đã nỗ lực rất nhiều trong việc ẩn danh vì họ thường xuyên thay đổi các công cụ hack cũng như cơ sở hạ tầng mà họ sử dụng. Vào tháng 3 năm 2019, APT33 đã tiến hành một cuộc tấn công nhằm vào các mục tiêu ở Ả Rập Xê Út bằng Nanocore RAT và một thời gian ngắn sau khi cuộc tấn công diễn ra, chúng đã thay đổi hoàn toàn cơ sở hạ tầng của mình và ngừng sử dụng Nanocore RAT, thay vào đó sử dụng RAT mới gọi là njRAT .

Cơ sở hạ tầng rộng lớn

Một trong những công cụ hack khét tiếng khác của họ là ống nhỏ giọt DropShot. Họ cũng đã sử dụng StoneDrill , bộ gạt đĩa tự tạo của họ có chung một số đặc tính với bộ gạt mưa Shamoon 2. Một số chuyên gia suy đoán rằng nhóm tấn công APT33 có hơn 1.200 tên miền và hàng trăm máy chủ, điều này cho chúng ta thấy cơ sở hạ tầng của chúng rộng lớn như thế nào và chúng có thể dễ dàng đánh lừa các chuyên gia an ninh mạng chỉ bằng cách chuyển đổi tuyến đường.

Ngoài việc phát triển các công cụ hack của riêng họ, APT33 thường tận dụng các công cụ có sẵn công khai như AdwindRAT, SpyNet, RevengeRAT , DarkComet và nhiều công cụ khác. Có khả năng APT33 sẽ tiếp tục các hoạt động của mình trong tương lai và có khả năng sẽ tiếp tục mở rộng cơ sở hạ tầng cũng như kho vũ khí của họ.