APT34

APT34（高級持續威脅）是一個總部位於伊朗的黑客組織，也被稱為 OilRig、Helix Kitten 和 Greenbug。惡意軟件專家認為，APT34 黑客組織由伊朗政府贊助，用於在全球範圍內促進伊朗利益。 APT34 黑客組織於 2014 年首次被發現。這個國家資助的黑客組織往往針對能源、金融、化學和國防行業的外國公司和機構。

在中東運營

APT34的活動主要集中在中東地區。通常，黑客組織會利用過時軟件中的已知漏洞。然而，APT34 更喜歡使用社會工程技術來傳播他們的威脅。該組織以使用很少見的技術而聞名——例如，使用 DNS 協議在受感染主機和控制服務器之間建立通信通道。他們還經常依賴自製的黑客工具，而不是選擇使用公共工具。

Tonedeaf 後門

在其最新的一項活動中，APT34 針對能源部門的員工以及在外國政府工作的個人。 APT34 建立了一個虛假的社交網絡，然後冒充劍橋大學的代表，該大學正在招聘員工。他們甚至生成了偽造的 LinkedIn 個人資料，目的是讓 PC 用戶相信工作機會的合法性。 APT34 將向目標受害者發送一條消息，其中包含一個名為“ERFT-Details.xls”的文件，該文件攜帶惡意軟件的有效負載。刪除的惡意軟件稱為 Tonedeaf 後門，執行後會立即連接到攻擊者的 C&C（命令和控制）服務器。這是通過 POST 和 HTTP GET 請求實現的。 Tonedeaf 惡意軟件能夠：

• 上傳文件。
• 下載文件。
• 收集有關受感染系統的信息。
• 執行外殼命令。

除了其主要功能外，Tonedeaf 後門還充當 APT34 在受感染主機上植入更多惡意軟件的網關。

該組織當然不滿意只控制一個受感染組織的系統。人們看到他們使用密碼收集工具定期訪問登錄憑據，然後嘗試使用它們滲透到同一公司網絡上的其他系統。

APT34 傾向於使用他們主要開發的黑客工具，但有時他們也會在他們的活動中使用公開可用的工具。