APT33
APT33 è un gruppo sospettato di essere sponsorizzato dallo Stato iraniano, attivo almeno dal 2013 e noto per aver preso di mira i settori aerospaziale, energetico e della difesa attraverso attività di spionaggio informatico e operazioni potenzialmente distruttive.
L'origine di APT33
APT33, noto anche come HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten e Peach Sandstorm, è un gruppo di hacker iraniano sponsorizzato dallo Stato, attivo almeno dal 2013. Il gruppo è sospettato di essere collegato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) iraniano e si ritiene che sostenga gli obiettivi strategici dell'Iran conducendo operazioni di spionaggio informatico e, possibilmente, operazioni distruttive. APT33 è particolarmente noto per l'uso di spearphishing, malware personalizzato e strumenti di sicurezza offensivi pubblici, spesso sfruttando le tecnologie Microsoft per ottenere l'accesso agli ambienti di destinazione.
Paesi presi di mira dall'APT33
Le operazioni dell'APT33 hanno preso di mira principalmente Stati Uniti, Arabia Saudita, Emirati Arabi Uniti e Corea del Sud. Questi paesi sono politicamente ed economicamente significativi in Medio Oriente e spesso rappresentano l'opposizione alla politica estera iraniana. Le attività informatiche possono anche essere progettate per raccogliere informazioni su infrastrutture critiche e progressi tecnologici.
Settori presi di mira dall'APT33
APT33 si è concentrata principalmente su organizzazioni nei settori aerospaziale, energetico, della difesa, dell'ingegneria e industriale. Il loro interesse è in linea con gli obiettivi economici e militari dell'Iran, in particolare per quanto riguarda le infrastrutture petrolifere e del gas e le capacità di difesa degli avversari regionali e dei concorrenti globali.
Le vittime dell'APT33
In particolare, APT33 ha preso di mira aziende statunitensi operanti nel settore ingegneristico e aerospaziale, conglomerati petroliferi ed energetici sauditi ed enti che gestiscono infrastrutture critiche con sede negli Emirati Arabi Uniti. Le loro operazioni includevano sia attività di spionaggio informatico sia la preparazione di potenziali attacchi distruttivi, come quelli collegati alle malware Shamoon, sebbene in alcuni casi l'attribuzione ad APT33 sia circostanziale.
Il metodo di attacco dell'APT33
APT33 utilizza principalmente e-mail di spearphishing con link .hta dannosi, file dannosi o allegati di archivi. Ha anche compromesso account validi, inclusi cloud Office 365, talvolta tramite password spraying.
Exploit come CVE-2017-0213 sono stati utilizzati per l'escalation locale. Inoltre, utilizzano credenziali amministrative valide ottenute tramite strumenti di dumping.
La persistenza viene mantenuta tramite chiavi di esecuzione del registro, distribuzioni della cartella di avvio, attività pianificate e sottoscrizioni agli eventi WMI. APT33 utilizza payload codificati (base64), canali C2 crittografati (AES), offuscamento PowerShell e malware personalizzati per eludere il rilevamento.
La raccolta delle credenziali viene effettuata tramite strumenti quali LaZagne, Mimikatz e SniffPass, che prendono di mira le credenziali del browser, la memoria LSASS, le password GPP e le credenziali di dominio memorizzate nella cache.
Utilizzano script e strumenti comuni per enumerare i sistemi, la topologia di rete e i privilegi degli account per il movimento laterale.
Il passaggio da un sistema all'altro è facilitato dall'utilizzo di credenziali raccolte, protocolli desktop remoti e accessi validi agli account.
I file sensibili vengono archiviati utilizzando strumenti come WinRAR e possono anche includere catture dello schermo utilizzando impianti backdoor.
Eseguono payload dannosi tramite PowerShell, VBScript o indurre gli utenti ad aprire allegati dannosi. Hanno anche sfruttato vulnerabilità software come CVE-2017-11774 e CVE-2018-20250.
I dati vengono sottratti tramite canali FTP, HTTP e HTTPS non crittografati, talvolta su porte non standard (808/880) con payload codificati.
Orientato principalmente allo spionaggio, APT33 ha la capacità di compiere operazioni distruttive, come dimostrano i collegamenti con comportamenti simili a quelli di Shamoon, sebbene non sia stato provato in modo definitivo.
APT33 utilizza principalmente e-mail di spearphishing con link .hta dannosi, file dannosi o allegati di archivi. Ha anche compromesso account validi, inclusi cloud Office 365, talvolta tramite password spraying.
Exploit come CVE-2017-0213 sono stati utilizzati per l'escalation locale. Inoltre, utilizzano credenziali amministrative valide ottenute tramite strumenti di dumping.
La persistenza viene mantenuta tramite chiavi di esecuzione del registro, distribuzioni della cartella di avvio, attività pianificate e sottoscrizioni agli eventi WMI. APT33 utilizza payload codificati (base64), canali C2 crittografati (AES), offuscamento PowerShell e malware personalizzati per eludere il rilevamento.
La raccolta delle credenziali viene effettuata tramite strumenti quali LaZagne, Mimikatz e SniffPass, che prendono di mira le credenziali del browser, la memoria LSASS, le password GPP e le credenziali di dominio memorizzate nella cache.
Utilizzano script e strumenti comuni per enumerare i sistemi, la topologia di rete e i privilegi degli account per il movimento laterale.
Il passaggio da un sistema all'altro è facilitato dall'utilizzo di credenziali raccolte, protocolli desktop remoti e accessi validi agli account.
I file sensibili vengono archiviati utilizzando strumenti come WinRAR e possono anche includere catture dello schermo utilizzando impianti backdoor.
Eseguono payload dannosi tramite PowerShell, VBScript o indurre gli utenti ad aprire allegati dannosi. Hanno anche sfruttato vulnerabilità software come CVE-2017-11774 e CVE-2018-20250.
I dati vengono sottratti tramite canali FTP, HTTP e HTTPS non crittografati, talvolta su porte non standard (808/880) con payload codificati.
Orientato principalmente allo spionaggio, APT33 ha la capacità di compiere operazioni distruttive, come dimostrano i collegamenti con comportamenti simili a quelli di Shamoon, sebbene non sia stato provato in modo definitivo.
TTP utilizzati da APT33
Come rilevare APT33 con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Qual è l'origine dell'APT33?
APT33 è un gruppo sospettato di essere sponsorizzato dallo Stato iraniano, probabilmente legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC), attivo almeno dal 2013.
Quali settori sono presi di mira dall'APT33?
Si concentrano sui settori aerospaziale, energetico, della difesa, dell'ingegneria e del petrolio/gas.
Quali sono i paesi più colpiti?
Gli obiettivi primari includono Stati Uniti, Arabia Saudita, Emirati Arabi Uniti e Corea del Sud.
In che modo APT33 ottiene l'accesso iniziale?
Attraverso e-mail di spearphishing con allegati o link dannosi e account Office 365 compromessi tramite password spraying.
Quali malware strumenti sono associati ad APT33?
Gli strumenti più comuni includono POWERTON, RemCos, DarkComet, PowerShell Empire, LaZagne, Mimikatz e SniffPass.
Sono collegati a qualche attacco distruttivo?
Sebbene si concentri principalmente sullo spionaggio, APT33 ha potenziali collegamenti con operazioni distruttive come Shamoon, anche se l'attribuzione rimane circostanziale.
Come mantengono la perseveranza?
Utilizzo di chiavi di registro, attività pianificate, sottoscrizioni a eventi WMI e distribuzione di RAT nelle cartelle di avvio.
Come possono le organizzazioni rilevare l'attività di APT33?
Il rilevamento richiede il monitoraggio di attività sospette di PowerShell, traffico di rete codificato, abuso di WMI ed esecuzioni di script pianificate. Si consiglia l'uso di strumenti NDR.
Quali misure di mitigazione sono efficaci contro APT33?
Utilizza l'autenticazione a più fattori (MFA), disabilita l'esecuzione delle macro, monitora le modifiche non autorizzate al registro, limita l'accesso a PowerShell e implementa la segmentazione della rete.
Qual è l'obiettivo strategico del gruppo?
APT33 conduce attività di spionaggio a sostegno degli interessi nazionali dell'Iran, in particolare nei settori dell'energia e della difesa in Medio Oriente, con la possibilità di sabotaggi se politicamente opportuno.