APT33
APT33 è un gruppo di hacker, presumibilmente finanziato dallo Stato iraniano, attivo almeno dal 2013 e noto per prendere di mira i settori aerospaziale, energetico e della difesa attraverso attività di spionaggio informatico e operazioni potenzialmente distruttive.
L'origine di APT33
APT33, noto anche come HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten e Peach Sandstorm, è un gruppo di hacker iraniano sponsorizzato dallo Stato, attivo almeno dal 2013. Si sospetta che il gruppo sia collegato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) e si ritiene che sostenga gli obiettivi strategici dell’Iran conducendo attività di spionaggio informatico e, potenzialmente, operazioni distruttive. APT33 è particolarmente noto per l'uso di spearphishing, malware personalizzato e strumenti di sicurezza offensiva disponibili al pubblico, spesso sfruttando le tecnologie Microsoft per ottenere l'accesso agli ambienti di destinazione.
Paesi presi di mira da APT33
Le operazioni dell'APT33 hanno preso di mira principalmente gli Stati Uniti, l'Arabia Saudita, gli Emirati Arabi Uniti e la Corea del Sud. Questi paesi rivestono un ruolo politico ed economico di rilievo in Medio Oriente e spesso si oppongono alla politica estera iraniana. Le attività informatiche potrebbero inoltre essere volte a raccogliere informazioni di intelligence sulle infrastrutture critiche e sui progressi tecnologici.
Settori presi di mira da APT33
L'APT33 ha concentrato la propria attenzione in modo particolare sulle organizzazioni operanti nei settori aerospaziale, energetico, della difesa, ingegneristico e industriale. Il loro interesse è in linea con gli obiettivi economici e militari dell'Iran, in particolare per quanto riguarda le infrastrutture petrolifere e del gas e le capacità di difesa degli avversari regionali e dei concorrenti globali.
Le vittime di APT33
In particolare, l'APT33 ha preso di mira aziende statunitensi del settore ingegneristico e aerospaziale, conglomerati petroliferi ed energetici sauditi ed enti responsabili di infrastrutture critiche con sede negli Emirati Arabi Uniti. Le loro operazioni comprendevano sia lo spionaggio informatico sia la preparazione di potenziali attacchi distruttivi, come quelli collegati alle malware Shamoon, sebbene in alcuni casi l'attribuzione all'APT33 sia solo circostanziale.
Il metodo di attacco di APT33
APT33 ricorre principalmente a e-mail di spearphishing contenenti link .hta dannosi, file malefici o allegati in formato archivio. Il gruppo ha inoltre compromesso account validi, compresi cloud di Office 365, talvolta tramite attacchi di "password spraying".
Vulnerabilità come CVE-2017-0213 sono state sfruttate per l'escalation dei privilegi in ambiente locale. Inoltre, vengono utilizzate credenziali amministrative valide ottenute tramite strumenti di dumping.
La persistenza viene garantita tramite chiavi di registro, configurazioni nella cartella di avvio, attività pianificate e sottoscrizioni agli eventi WMI. APT33 utilizza payload codificati (base64), canali C2 crittografati (AES), tecniche di offuscamento in PowerShell e malware personalizzati per eludere il rilevamento.
La raccolta delle credenziali avviene tramite strumenti quali LaZagne, Mimikatz e SniffPass, che prendono di mira le credenziali dei browser, la memoria LSASS, le password GPP e le credenziali di dominio memorizzate nella cache.
Utilizzano script e strumenti comuni per individuare i sistemi, la topologia di rete e i privilegi degli account al fine di effettuare movimenti laterali.
Il passaggio da un sistema all'altro è facilitato dall'utilizzo di credenziali sottratte, protocolli di desktop remoto e accessi a account validi.
I file sensibili vengono archiviati utilizzando strumenti come WinRAR e possono includere anche schermate acquisite tramite backdoor.
Eseguono payload dannosi tramite PowerShell, VBScript o indurre gli utenti ad aprire allegati dannosi. Hanno inoltre sfruttato le vulnerabilità di alcuni software, come CVE-2017-11774 e CVE-2018-20250.
I dati vengono sottratti tramite canali FTP, HTTP e HTTPS non crittografati, talvolta su porte non standard (808/880) con payload codificati.
Destinato principalmente allo spionaggio, APT33 è in grado di condurre operazioni distruttive, come dimostrano i collegamenti con comportamenti simili a quelli di Shamoon, sebbene ciò non sia stato dimostrato in modo definitivo.
APT33 ricorre principalmente a e-mail di spearphishing contenenti link .hta dannosi, file malefici o allegati in formato archivio. Il gruppo ha inoltre compromesso account validi, compresi cloud di Office 365, talvolta tramite attacchi di "password spraying".
Vulnerabilità come CVE-2017-0213 sono state sfruttate per l'escalation dei privilegi in ambiente locale. Inoltre, vengono utilizzate credenziali amministrative valide ottenute tramite strumenti di dumping.
La persistenza viene garantita tramite chiavi di registro, configurazioni nella cartella di avvio, attività pianificate e sottoscrizioni agli eventi WMI. APT33 utilizza payload codificati (base64), canali C2 crittografati (AES), tecniche di offuscamento in PowerShell e malware personalizzati per eludere il rilevamento.
La raccolta delle credenziali avviene tramite strumenti quali LaZagne, Mimikatz e SniffPass, che prendono di mira le credenziali dei browser, la memoria LSASS, le password GPP e le credenziali di dominio memorizzate nella cache.
Utilizzano script e strumenti comuni per individuare i sistemi, la topologia di rete e i privilegi degli account al fine di effettuare movimenti laterali.
Il passaggio da un sistema all'altro è facilitato dall'utilizzo di credenziali sottratte, protocolli di desktop remoto e accessi a account validi.
I file sensibili vengono archiviati utilizzando strumenti come WinRAR e possono includere anche schermate acquisite tramite backdoor.
Eseguono payload dannosi tramite PowerShell, VBScript o indurre gli utenti ad aprire allegati dannosi. Hanno inoltre sfruttato le vulnerabilità di alcuni software, come CVE-2017-11774 e CVE-2018-20250.
I dati vengono sottratti tramite canali FTP, HTTP e HTTPS non crittografati, talvolta su porte non standard (808/880) con payload codificati.
Destinato principalmente allo spionaggio, APT33 è in grado di condurre operazioni distruttive, come dimostrano i collegamenti con comportamenti simili a quelli di Shamoon, sebbene ciò non sia stato dimostrato in modo definitivo.
TTP utilizzati da APT33
Come individuare APT33 con Vectra AI
Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Da dove proviene l'APT33?
APT33 è un gruppo hacker sospettato di essere sostenuto dallo Stato iraniano, probabilmente legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC), attivo almeno dal 2013.
Quali settori sono nel mirino di APT33?
Si concentrano sui settori aerospaziale, energetico, della difesa, dell'ingegneria e del petrolio e del gas.
Quali sono i paesi più colpiti?
Tra i principali mercati di riferimento figurano gli Stati Uniti, l'Arabia Saudita, gli Emirati Arabi Uniti e la Corea del Sud.
In che modo APT33 ottiene l'accesso iniziale?
Tramite e-mail di spearphishing contenenti allegati o link dannosi e account Office 365 compromessi tramite attacchi di "password spraying".
Quali malware strumenti sono associati ad APT33?
Tra gli strumenti più diffusi figurano POWERTON, RemCos, DarkComet, PowerShell Empire, LaZagne, Mimikatz e SniffPass.
Sono collegati a qualche attacco distruttivo?
Sebbene si concentri principalmente sullo spionaggio, APT33 potrebbe essere collegato a operazioni distruttive come Shamoon, anche se l'attribuzione rimane di natura circostanziale.
Come fanno a mantenere la perseveranza?
Utilizzo di chiavi di registro, attività pianificate, sottoscrizioni agli eventi WMI e distribuzione di RAT nelle cartelle di avvio.
In che modo le organizzazioni possono individuare l'attività di APT33?
Il rilevamento richiede il monitoraggio di attività sospette in PowerShell, traffico di rete crittografato, uso improprio di WMI ed esecuzioni di script pianificate. Si consiglia l'uso di strumenti NDR.
Quali misure di mitigazione sono efficaci contro APT33?
Utilizzare l'autenticazione a più fattori (MFA), disabilitare l'esecuzione delle macro, monitorare eventuali modifiche non autorizzate al Registro di sistema, limitare l'accesso a PowerShell e implementare la segmentazione della rete.
Qual è l'obiettivo strategico del gruppo?
L'APT33 svolge attività di spionaggio a sostegno degli interessi nazionali dell'Iran, in particolare nei settori energetico e della difesa in Medio Oriente, con la possibilità di compiere atti di sabotaggio qualora ciò risulti politicamente opportuno.