APT34

APT34

APT34 (Advanced Persistent Threat) ist eine im Iran ansässige Hacking-Gruppe, die auch als OilRig, Helix Kitten und Greenbug bekannt ist. Malware-Experten glauben, dass die APT34-Hacking-Gruppe von der iranischen Regierung gesponsert und dazu verwendet wird, die iranischen Interessen weltweit zu fördern. Die Hacking-Gruppe APT34 wurde erstmals im Jahr 2014 entdeckt. Diese staatlich geförderte Hacking-Gruppe richtet sich in der Regel gegen ausländische Unternehmen und Institutionen in der Energie-, Finanz-, Chemie- und Verteidigungsindustrie.

Tätig im Nahen Osten

Die Tätigkeit der APT34 konzentriert sich hauptsächlich auf die Region des Mittleren Ostens. Häufig nutzten Hackergruppen bekannte Exploits in veralteter Software aus. Die APT34 ziehen es jedoch vor, ihre Bedrohungen mithilfe von Social-Engineering-Techniken zu verbreiten. Die Gruppe ist bekannt für ihre Verwendung seltener Techniken – zum Beispiel die Verwendung des DNS-Protokolls, um einen Kommunikationskanal zwischen dem infizierten Host und dem Kontrollserver herzustellen. Sie verlassen sich auch regelmäßig auf selbst erstellte Hacking-Tools, anstatt sich für öffentliche zu entscheiden.

Die Tonedeaf-Hintertür

In einer ihrer jüngsten Kampagnen richtet sich die APT34 an Beschäftigte im Energiesektor sowie an Personen, die in ausländischen Regierungen tätig sind. APT34 baute ein falsches soziales Netzwerk auf und gab sich dann als Vertreter der Universität Cambridge aus, die Personal einstellen möchte. Sie sind sogar so weit gegangen, ein gefälschtes LinkedIn-Profil zu erstellen, das den PC-Benutzer von der Legitimität des Stellenangebots überzeugen soll. Das APT34 sendete dem anvisierten Opfer eine Nachricht, die eine Datei namens „ERFT-Details.xls“ enthielt, die die Nutzlast der Malware enthielt. Die abgeworfene Malware wird als Tonedeaf-Hintertür bezeichnet und würde sich bei Ausführung sofort mit dem C&C-Server (Command & Control) des Angreifers verbinden. Dies wird über POST- und HTTP-GET-Anforderungen erreicht. Die Malware Tonedeaf kann:

  • Daten hochladen.
  • Dateien herunterladen.
  • Sammeln Sie Informationen über das kompromittierte System.
  • Ausführen von Shell-Befehlen.

Abgesehen von ihren Hauptfunktionen dient die Tonedeaf-Hintertür als Gateway für APT34, um weitere Malware auf dem infizierten Host zu platzieren.

Die Gruppe ist sicherlich nicht zufrieden damit, die Kontrolle über nur eines der Systeme der kompromittierten Organisation zu haben. Sie wurden beobachtet, wie sie Tools zum Sammeln von Passwörtern verwendeten, um regelmäßig auf Anmeldeinformationen zuzugreifen, und dann versuchten, diese zu verwenden, um andere Systeme zu infiltrieren, die sich im selben Unternehmensnetzwerk befanden.

Die APT34 verwendet in der Regel hauptsächlich selbst entwickelte Hacking-Tools, aber manchmal setzen sie auch öffentlich verfügbare Tools in ihren Kampagnen ein.

Im Trend

Wird geladen...