APT33

APT33 è un sospetto gruppo di minacce sponsorizzato dallo Stato iraniano attivo almeno dal 2013, noto per aver preso di mira i settori aerospaziale, energetico e della difesa attraverso lo spionaggio informatico e operazioni potenzialmente distruttive.

La vostra organizzazione è al sicuro dagli attacchi di APT33?

L'origine di APT33

PT33, noto anche come HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten e Peach Sandstorm, è un gruppo di minaccia iraniano sponsorizzato dallo Stato attivo almeno dal 2013. Si sospetta che il gruppo sia collegato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell'Iran e si ritiene che sostenga gli obiettivi strategici iraniani conducendo operazioni di spionaggio informatico e possibilmente distruttive. APT33 è particolarmente noto per l'uso di spearphishing, malware personalizzato e strumenti di sicurezza offensivi pubblici, spesso sfruttando le tecnologie Microsoft per ottenere l'accesso agli ambienti target.

Paesi presi di mira da APT33

Le operazioni dell'APT33 hanno preso di mira principalmente gli Stati Uniti, l'Arabia Saudita, gli Emirati Arabi Uniti e la Corea del Sud. Questi Paesi sono politicamente ed economicamente importanti in Medio Oriente e spesso rappresentano un'opposizione alla politica estera iraniana. Le attività informatiche possono anche essere finalizzate alla raccolta di informazioni sulle infrastrutture critiche e sui progressi tecnologici.

Settori presi di mira da APT33

L'APT33 si è concentrato ampiamente sulle organizzazioni dei settori aerospaziale, energetico, della difesa, ingegneristico e industriale. Il loro interesse si allinea con gli obiettivi economici e militari dell'Iran, soprattutto per quanto riguarda le infrastrutture petrolifere e del gas e le capacità di difesa degli avversari regionali e dei concorrenti globali.

Le vittime di APT33

In particolare, APT33 ha preso di mira aziende ingegneristiche e aerospaziali statunitensi, conglomerati petroliferi ed energetici sauditi ed entità infrastrutturali critiche con sede negli Emirati Arabi Uniti. Le loro operazioni comprendono sia lo spionaggio informatico sia la preparazione di potenziali attacchi distruttivi, come quelli legati alle campagne malware Shamoon, anche se in alcuni casi l'attribuzione all'APT33 è circostanziale.

Metodo di attacco

Il metodo di attacco di APT33

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

APT33 utilizza principalmente e-mail di spearphishing con link .hta dannosi, file dannosi o allegati di archivio. Hanno anche compromesso account validi, compresi gli account cloud di Office 365, a volte tramite spruzzatura di password.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Gli exploit come CVE-2017-0213 sono stati utilizzati per l'escalation locale. Inoltre, utilizzano credenziali amministrative valide ottenute tramite strumenti di dumping.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

La persistenza è mantenuta attraverso chiavi di esecuzione del registro, distribuzioni della cartella di avvio, attività pianificate e sottoscrizioni di eventi WMI. APT33 utilizza payload codificati (base64), canali C2 crittografati (AES), offuscamento di PowerShell e framework malware personalizzati per eludere il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

La raccolta di credenziali avviene attraverso strumenti come LaZagne, Mimikatz e SniffPass, che mirano alle credenziali del browser, alla memoria LSASS, alle password GPP e alle credenziali del dominio memorizzate nella cache.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Utilizzano script e strumenti comuni per enumerare i sistemi, la topologia della rete e i privilegi degli account per gli spostamenti laterali.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Gli spostamenti tra i sistemi sono facilitati dall'utilizzo di credenziali raccolte, protocolli di desktop remoto e accesso valido all'account.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

I file sensibili vengono archiviati utilizzando strumenti come WinRAR e possono anche includere catture di schermate utilizzando impianti backdoor.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Eseguono payload dannosi tramite PowerShell, VBScript o inducendo gli utenti a lanciare allegati dannosi. Hanno anche sfruttato le vulnerabilità del software come CVE-2017-11774 e CVE-2018-20250.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

L'esfiltrazione dei dati avviene tramite canali FTP, HTTP e HTTPS non criptati, talvolta su porte non standard (808/880) con payload codificati.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Principalmente orientato allo spionaggio, APT33 è in grado di effettuare operazioni distruttive, come dimostrano i collegamenti a comportamenti simili a quelli di Shamoon, anche se non definitivamente provati.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

APT33 utilizza principalmente e-mail di spearphishing con link .hta dannosi, file dannosi o allegati di archivio. Hanno anche compromesso account validi, compresi gli account cloud di Office 365, a volte tramite spruzzatura di password.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Gli exploit come CVE-2017-0213 sono stati utilizzati per l'escalation locale. Inoltre, utilizzano credenziali amministrative valide ottenute tramite strumenti di dumping.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

La persistenza è mantenuta attraverso chiavi di esecuzione del registro, distribuzioni della cartella di avvio, attività pianificate e sottoscrizioni di eventi WMI. APT33 utilizza payload codificati (base64), canali C2 crittografati (AES), offuscamento di PowerShell e framework malware personalizzati per eludere il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

La raccolta di credenziali avviene attraverso strumenti come LaZagne, Mimikatz e SniffPass, che mirano alle credenziali del browser, alla memoria LSASS, alle password GPP e alle credenziali del dominio memorizzate nella cache.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Utilizzano script e strumenti comuni per enumerare i sistemi, la topologia della rete e i privilegi degli account per gli spostamenti laterali.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Gli spostamenti tra i sistemi sono facilitati dall'utilizzo di credenziali raccolte, protocolli di desktop remoto e accesso valido all'account.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

I file sensibili vengono archiviati utilizzando strumenti come WinRAR e possono anche includere catture di schermate utilizzando impianti backdoor.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Eseguono payload dannosi tramite PowerShell, VBScript o inducendo gli utenti a lanciare allegati dannosi. Hanno anche sfruttato le vulnerabilità del software come CVE-2017-11774 e CVE-2018-20250.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

L'esfiltrazione dei dati avviene tramite canali FTP, HTTP e HTTPS non criptati, talvolta su porte non standard (808/880) con payload codificati.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Principalmente orientato allo spionaggio, APT33 è in grado di effettuare operazioni distruttive, come dimostrano i collegamenti a comportamenti simili a quelli di Shamoon, anche se non definitivamente provati.

MITRE ATT&CK Mappatura

TTP utilizzati da APT33

TA0001: Initial Access
T1566
Phishing
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1140
Deobfuscate/Decode Files or Information
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1040
Network Sniffing
T1003
OS Credential Dumping
TA0007: Discovery
T1040
Network Sniffing
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
T1113
Screen Capture
TA0011: Command and Control
T1573
Encrypted Channel
T1571
Non-Standard Port
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1485
Data Destruction
Rilevamenti della piattaforma

Come rilevare APT33 con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.

DOMANDE FREQUENTI

Qual è l'origine dell'APT33?

Quali sono i settori presi di mira da APT33?

Quali sono i paesi più colpiti?

In che modo l'APT33 ottiene l'accesso iniziale?

Quali malware o strumenti sono associati all'APT33?

Sono collegati a qualche attacco distruttivo?

Come fanno a mantenere la persistenza?

Come possono le organizzazioni rilevare l'attività di APT33?

Quali mitigazioni sono efficaci contro APT33?

Qual è l'obiettivo strategico del gruppo?