APT34

APT34 (Mối đe dọa liên tục nâng cao) là một nhóm tấn công có trụ sở tại Iran, còn được gọi là OilRig, Helix Kitten và Greenbug. Các chuyên gia phần mềm độc hại tin rằng nhóm tấn công APT34 được chính phủ Iran bảo trợ và được sử dụng để thúc đẩy các lợi ích của Iran trên toàn cầu. Nhóm hack APT34 lần đầu tiên được phát hiện vào năm 2014. Nhóm hack do nhà nước tài trợ này có xu hướng nhắm mục tiêu vào các tập đoàn và tổ chức nước ngoài trong các ngành công nghiệp năng lượng, tài chính, hóa chất và quốc phòng.

Hoạt động ở Trung Đông

Hoạt động của APT34 chủ yếu tập trung ở khu vực Trung Đông. Thông thường, các nhóm hack sẽ khai thác các khai thác đã biết trong phần mềm lỗi thời. Tuy nhiên, APT34 thích tuyên truyền các mối đe dọa của chúng bằng cách sử dụng các kỹ thuật kỹ thuật xã hội. Nhóm này nổi tiếng với việc sử dụng các kỹ thuật hiếm thấy - chẳng hạn như sử dụng giao thức DNS để thiết lập kênh liên lạc giữa máy chủ bị nhiễm và máy chủ điều khiển. Họ cũng thường xuyên dựa vào các công cụ hack tự tạo, thay vì chọn sử dụng các công cụ công khai.

Cửa hậu Tonedeaf

Trong một trong những chiến dịch mới nhất của mình, APT34 nhắm mục tiêu đến các nhân viên trong lĩnh vực năng lượng cũng như các cá nhân làm việc trong các chính phủ nước ngoài. APT34 đã xây dựng một mạng xã hội không có thật và sau đó đóng vai trò là đại diện của Đại học Cambridge đang tìm kiếm nhân viên. Họ thậm chí còn đi xa đến mức tạo ra một hồ sơ LinkedIn giả mạo, nhằm thuyết phục người dùng PC về tính hợp pháp của lời mời làm việc. APT34 sẽ gửi cho nạn nhân được nhắm mục tiêu một tin nhắn chứa một tệp có tên là 'ERFT-Details.xls' mang tải trọng của phần mềm độc hại. Phần mềm độc hại bị loại bỏ được gọi là cửa hậu Tonedeaf và khi thực thi sẽ kết nối với máy chủ C&C (Command & Control) của kẻ tấn công ngay lập tức. Điều này đạt được thông qua các yêu cầu POST và HTTP GET. Phần mềm độc hại Tonedeaf có thể:

• Tải tệp lên.
• Tải tập tin.
• Thu thập thông tin về hệ thống bị xâm nhập.
• Thực hiện các lệnh shell.

Ngoài các khả năng chính của nó, cửa hậu Tonedeaf đóng vai trò như một cổng để APT34 gieo thêm phần mềm độc hại lên máy chủ bị nhiễm.

Nhóm chắc chắn không hài lòng với việc chỉ kiểm soát một trong các hệ thống của tổ chức bị xâm phạm. Họ được nhìn thấy sử dụng các công cụ thu thập mật khẩu để truy cập thông tin đăng nhập thường xuyên và sau đó cố gắng sử dụng chúng để xâm nhập vào các hệ thống khác được tìm thấy trên cùng một mạng công ty.

APT34 có xu hướng sử dụng các công cụ hack mà họ đã phát triển chủ yếu, nhưng đôi khi họ cũng sử dụng các công cụ có sẵn công khai trong các chiến dịch của mình.