APT34

APT34

APT34(高级持续威胁)是一个总部位于伊朗的黑客组织,也被称为 OilRig、Helix Kitten 和 Greenbug。恶意软件专家认为,APT34 黑客组织由伊朗政府赞助,用于在全球范围内促进伊朗利益。 APT34 黑客组织于 2014 年首次被发现。这个国家资助的黑客组织往往针对能源、金融、化学和国防行业的外国公司和机构。

在中东运营

APT34的活动主要集中在中东地区。通常,黑客组织会利用过时软件中的已知漏洞。然而,APT34 更喜欢使用社会工程技术来传播他们的威胁。该组织以使用很少见的技术而闻名——例如,使用 DNS 协议在受感染主机和控制服务器之间建立通信通道。他们还经常依赖自制的黑客工具,而不是选择使用公共工具。

Tonedeaf 后门

在其最新的一项活动中,APT34 针对能源部门的员工以及在外国政府工作的个人。 APT34 建立了一个虚假的社交网络,然后冒充剑桥大学的代表,该大学正在招聘员工。他们甚至生成了伪造的 LinkedIn 个人资料,目的是让 PC 用户相信工作机会的合法性。 APT34 将向目标受害者发送一条消息,其中包含一个名为“ERFT-Details.xls”的文件,该文件携带恶意软件的有效负载。删除的恶意软件称为 Tonedeaf 后门,执行后会立即连接到攻击者的 C&C(命令和控制)服务器。这是通过 POST 和 HTTP GET 请求实现的。 Tonedeaf 恶意软件能够:

  • 上传文件。
  • 下载文件。
  • 收集有关受感染系统的信息。
  • 执行外壳命令。

除了其主要功能外,Tonedeaf 后门还充当 APT34 在受感染主机上植入更多恶意软件的网关。

该组织当然不满意只控制一个受感染组织的系统。人们看到他们使用密码收集工具定期访问登录凭据,然后尝试使用它们渗透到同一公司网络上的其他系统。

APT34 倾向于使用他们主要开发的黑客工具,但有时他们也会在他们的活动中使用公开可用的工具。

趋势

最受关注

正在加载...