APT34

APT34

APT34(高級持續威脅)是一個總部位於伊朗的黑客組織,也被稱為 OilRig、Helix Kitten 和 Greenbug。惡意軟件專家認為,APT34 黑客組織由伊朗政府贊助,用於在全球範圍內促進伊朗利益。 APT34 黑客組織於 2014 年首次被發現。這個國家資助的黑客組織往往針對能源、金融、化學和國防行業的外國公司和機構。

在中東運營

APT34的活動主要集中在中東地區。通常,黑客組織會利用過時軟件中的已知漏洞。然而,APT34 更喜歡使用社會工程技術來傳播他們的威脅。該組織以使用很少見的技術而聞名——例如,使用 DNS 協議在受感染主機和控制服務器之間建立通信通道。他們還經常依賴自製的黑客工具,而不是選擇使用公共工具。

Tonedeaf 後門

在其最新的一項活動中,APT34 針對能源部門的員工以及在外國政府工作的個人。 APT34 建立了一個虛假的社交網絡,然後冒充劍橋大學的代表,該大學正在招聘員工。他們甚至生成了偽造的 LinkedIn 個人資料,目的是讓 PC 用戶相信工作機會的合法性。 APT34 將向目標受害者發送一條消息,其中包含一個名為“ERFT-Details.xls”的文件,該文件攜帶惡意軟件的有效負載。刪除的惡意軟件稱為 Tonedeaf 後門,執行後會立即連接到攻擊者的 C&C(命令和控制)服務器。這是通過 POST 和 HTTP GET 請求實現的。 Tonedeaf 惡意軟件能夠:

  • 上傳文件。
  • 下載文件。
  • 收集有關受感染系統的信息。
  • 執行外殼命令。

除了其主要功能外,Tonedeaf 後門還充當 APT34 在受感染主機上植入更多惡意軟件的網關。

該組織當然不滿意只控制一個受感染組織的系統。人們看到他們使用密碼收集工具定期訪問登錄憑據,然後嘗試使用它們滲透到同一公司網絡上的其他系統。

APT34 傾向於使用他們主要開發的黑客工具,但有時他們也會在他們的活動中使用公開可用的工具。

Trending

Most Viewed

Loading...