APT33
APT33 è un sospetto gruppo di minacce sponsorizzato dallo Stato iraniano attivo almeno dal 2013, noto per aver preso di mira i settori aerospaziale, energetico e della difesa attraverso lo spionaggio informatico e operazioni potenzialmente distruttive.
L'origine di APT33
APT33, noto anche come HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten e Peach Sandstorm, è un gruppo di minaccia iraniano sponsorizzato dallo Stato attivo almeno dal 2013. Si sospetta che il gruppo sia collegato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell'Iran e si ritiene che sostenga gli obiettivi strategici iraniani conducendo operazioni di spionaggio informatico e possibilmente distruttive. APT33 è particolarmente noto per l'uso di spearphishing, malware personalizzato e strumenti di sicurezza offensivi pubblici, spesso sfruttando le tecnologie Microsoft per ottenere l'accesso agli ambienti target.
Paesi presi di mira da APT33
Le operazioni dell'APT33 hanno preso di mira principalmente gli Stati Uniti, l'Arabia Saudita, gli Emirati Arabi Uniti e la Corea del Sud. Questi Paesi sono politicamente ed economicamente importanti in Medio Oriente e spesso rappresentano un'opposizione alla politica estera iraniana. Le attività informatiche possono anche essere finalizzate alla raccolta di informazioni sulle infrastrutture critiche e sui progressi tecnologici.
Settori presi di mira da APT33
L'APT33 si è concentrato ampiamente sulle organizzazioni dei settori aerospaziale, energetico, della difesa, ingegneristico e industriale. Il loro interesse si allinea con gli obiettivi economici e militari dell'Iran, soprattutto per quanto riguarda le infrastrutture petrolifere e del gas e le capacità di difesa degli avversari regionali e dei concorrenti globali.
Le vittime di APT33
In particolare, APT33 ha preso di mira aziende ingegneristiche e aerospaziali statunitensi, conglomerati petroliferi ed energetici sauditi ed entità infrastrutturali critiche con sede negli Emirati Arabi Uniti. Le loro operazioni comprendono sia lo spionaggio informatico sia la preparazione di potenziali attacchi distruttivi, come quelli legati alle campagne malware Shamoon, anche se in alcuni casi l'attribuzione all'APT33 è circostanziale.
Il metodo di attacco di APT33
APT33 utilizza principalmente e-mail di spearphishing con link .hta dannosi, file dannosi o allegati di archivio. Hanno anche compromesso account validi, compresi gli account cloud di Office 365, a volte tramite spruzzatura di password.
Gli exploit come CVE-2017-0213 sono stati utilizzati per l'escalation locale. Inoltre, utilizzano credenziali amministrative valide ottenute tramite strumenti di dumping.
La persistenza è mantenuta attraverso chiavi di esecuzione del registro, distribuzioni della cartella di avvio, attività pianificate e sottoscrizioni di eventi WMI. APT33 utilizza payload codificati (base64), canali C2 crittografati (AES), offuscamento di PowerShell e framework malware personalizzati per eludere il rilevamento.
La raccolta di credenziali avviene attraverso strumenti come LaZagne, Mimikatz e SniffPass, che mirano alle credenziali del browser, alla memoria LSASS, alle password GPP e alle credenziali del dominio memorizzate nella cache.
Utilizzano script e strumenti comuni per enumerare i sistemi, la topologia della rete e i privilegi degli account per gli spostamenti laterali.
Gli spostamenti tra i sistemi sono facilitati dall'utilizzo di credenziali raccolte, protocolli di desktop remoto e accesso valido all'account.
I file sensibili vengono archiviati utilizzando strumenti come WinRAR e possono anche includere catture di schermate utilizzando impianti backdoor.
Eseguono payload dannosi tramite PowerShell, VBScript o inducendo gli utenti a lanciare allegati dannosi. Hanno anche sfruttato le vulnerabilità del software come CVE-2017-11774 e CVE-2018-20250.
L'esfiltrazione dei dati avviene tramite canali FTP, HTTP e HTTPS non criptati, talvolta su porte non standard (808/880) con payload codificati.
Principalmente orientato allo spionaggio, APT33 è in grado di effettuare operazioni distruttive, come dimostrano i collegamenti a comportamenti simili a quelli di Shamoon, anche se non definitivamente provati.
APT33 utilizza principalmente e-mail di spearphishing con link .hta dannosi, file dannosi o allegati di archivio. Hanno anche compromesso account validi, compresi gli account cloud di Office 365, a volte tramite spruzzatura di password.
Gli exploit come CVE-2017-0213 sono stati utilizzati per l'escalation locale. Inoltre, utilizzano credenziali amministrative valide ottenute tramite strumenti di dumping.
La persistenza è mantenuta attraverso chiavi di esecuzione del registro, distribuzioni della cartella di avvio, attività pianificate e sottoscrizioni di eventi WMI. APT33 utilizza payload codificati (base64), canali C2 crittografati (AES), offuscamento di PowerShell e framework malware personalizzati per eludere il rilevamento.
La raccolta di credenziali avviene attraverso strumenti come LaZagne, Mimikatz e SniffPass, che mirano alle credenziali del browser, alla memoria LSASS, alle password GPP e alle credenziali del dominio memorizzate nella cache.
Utilizzano script e strumenti comuni per enumerare i sistemi, la topologia della rete e i privilegi degli account per gli spostamenti laterali.
Gli spostamenti tra i sistemi sono facilitati dall'utilizzo di credenziali raccolte, protocolli di desktop remoto e accesso valido all'account.
I file sensibili vengono archiviati utilizzando strumenti come WinRAR e possono anche includere catture di schermate utilizzando impianti backdoor.
Eseguono payload dannosi tramite PowerShell, VBScript o inducendo gli utenti a lanciare allegati dannosi. Hanno anche sfruttato le vulnerabilità del software come CVE-2017-11774 e CVE-2018-20250.
L'esfiltrazione dei dati avviene tramite canali FTP, HTTP e HTTPS non criptati, talvolta su porte non standard (808/880) con payload codificati.
Principalmente orientato allo spionaggio, APT33 è in grado di effettuare operazioni distruttive, come dimostrano i collegamenti a comportamenti simili a quelli di Shamoon, anche se non definitivamente provati.
TTP utilizzati da APT33
Come rilevare APT33 con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Qual è l'origine dell'APT33?
APT33 è un sospetto gruppo di minacce sponsorizzato dallo Stato iraniano, probabilmente legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC), attivo almeno dal 2013.
Quali sono i settori presi di mira da APT33?
Si concentrano sui settori aerospaziale, energia, difesa, ingegneria e petrolio/gas.
Quali sono i paesi più colpiti?
Gli obiettivi principali sono gli Stati Uniti, l'Arabia Saudita, gli Emirati Arabi Uniti e la Corea del Sud.
In che modo l'APT33 ottiene l'accesso iniziale?
Tramite e-mail di spearphishing con allegati o link dannosi e account Office 365 compromessi tramite spruzzatura di password.
Quali malware o strumenti sono associati all'APT33?
Gli strumenti più comuni sono POWERTON, RemCos, DarkComet, PowerShell Empire, LaZagne, Mimikatz e SniffPass.
Sono collegati a qualche attacco distruttivo?
Sebbene si concentri principalmente sullo spionaggio, APT33 ha potenziali collegamenti con operazioni distruttive come Shamoon, anche se l'attribuzione rimane circostanziata.
Come fanno a mantenere la persistenza?
Utilizzo di chiavi di registro, attività pianificate, sottoscrizioni di eventi WMI e distribuzione di RAT nelle cartelle di avvio.
Come possono le organizzazioni rilevare l'attività di APT33?
Il rilevamento richiede il monitoraggio di attività PowerShell sospette, traffico di rete codificato, abuso di WMI ed esecuzioni di script pianificati. Si consiglia l'uso di strumenti NDR.
Quali mitigazioni sono efficaci contro APT33?
Utilizzate l 'MFA, disabilitate l'esecuzione di macro, monitorate le modifiche non autorizzate al registro di sistema, limitate l'accesso a PowerShell e implementate la segmentazione della rete.
Qual è l'obiettivo strategico del gruppo?
L'APT33 conduce attività di spionaggio a sostegno degli interessi nazionali iraniani, in particolare nei settori dell'energia e della difesa del Medio Oriente, con un potenziale di sabotaggio se politicamente opportuno.