APT34

APT34（高级持续威胁）是一个总部位于伊朗的黑客组织，也被称为 OilRig、Helix Kitten 和 Greenbug。恶意软件专家认为，APT34 黑客组织由伊朗政府赞助，用于在全球范围内促进伊朗利益。 APT34 黑客组织于 2014 年首次被发现。这个国家资助的黑客组织往往针对能源、金融、化学和国防行业的外国公司和机构。

在中东运营

APT34的活动主要集中在中东地区。通常，黑客组织会利用过时软件中的已知漏洞。然而，APT34 更喜欢使用社会工程技术来传播他们的威胁。该组织以使用很少见的技术而闻名——例如，使用 DNS 协议在受感染主机和控制服务器之间建立通信通道。他们还经常依赖自制的黑客工具，而不是选择使用公共工具。

Tonedeaf 后门

在其最新的一项活动中，APT34 针对能源部门的员工以及在外国政府工作的个人。 APT34 建立了一个虚假的社交网络，然后冒充剑桥大学的代表，该大学正在招聘员工。他们甚至生成了伪造的 LinkedIn 个人资料，目的是让 PC 用户相信工作机会的合法性。 APT34 将向目标受害者发送一条消息，其中包含一个名为“ERFT-Details.xls”的文件，该文件携带恶意软件的有效负载。删除的恶意软件称为 Tonedeaf 后门，执行后会立即连接到攻击者的 C&C（命令和控制）服务器。这是通过 POST 和 HTTP GET 请求实现的。 Tonedeaf 恶意软件能够：

• 上传文件。
• 下载文件。
• 收集有关受感染系统的信息。
• 执行外壳命令。

除了其主要功能外，Tonedeaf 后门还充当 APT34 在受感染主机上植入更多恶意软件的网关。

该组织当然不满意只控制一个受感染组织的系统。人们看到他们使用密码收集工具定期访问登录凭据，然后尝试使用它们渗透到同一公司网络上的其他系统。

APT34 倾向于使用他们主要开发的黑客工具，但有时他们也会在他们的活动中使用公开可用的工具。