APT34
APT34, noto anche come OilRig o HELIX KITTEN, è un gruppo di spionaggio informatico sponsorizzato dallo Stato iraniano, attivo almeno dal 2014, noto per prendere di mira organizzazioni in tutto il Medio Oriente e oltre, utilizzando sofisticatephishing e malware personalizzato.
L'origine di APT34
APT34 (noto anche come OilRig, HELIX KITTEN, CHRYSENE e COBALT GYPSY) è un gruppo iraniano di minacce persistenti avanzate (APT) sponsorizzato dallo Stato, attivo almeno dal 2014. Si ritiene che il gruppo operi per conto del Ministero iraniano dell'Intelligence e della Sicurezza (MOIS). APT34 si concentra principalmente sul raggiungimento degli obiettivi di intelligence geopolitica iraniani in Medio Oriente, Nord Africa (MENA) e in alcune parti dell'Eurasia. Noto per i suoi sofisticati set di strumenti personalizzati, le capacità di dirottamento DNS ephishing strategichephishing , APT34 spesso sfrutta l'ingegneria sociale e strumenti disponibili pubblicamente per accedere e persistere nelle reti prese di mira.
Paesi presi di mira da APT34
Le operazioni dell'APT34 si concentrano principalmente sui paesi del Medio Oriente e dell'Eurasia orientale, tra cui Arabia Saudita, Emirati Arabi Uniti, Israele, Giordania, Libano, Iraq, Bahrein, Kuwait, Yemen, Siria e Qatar. La loro influenza si estende anche a Sudafrica, Turchia, Azerbaigian e Mauritius, il che denota un interesse regionale in espansione e un impegno a raccogliere informazioni al di là dei confini immediati.
Settori presi di mira da APT34
APT34 prende di mira un'ampia gamma di settori, in particolare quelli che rientrano nell'ambito della raccolta di informazioni di interesse nazionale. Tra questi figurano le istituzioni accademiche, il settore energetico (in particolare quello petrolifero e del gas), l'industria manifatturiera, i servizi finanziari, le telecomunicazioni e gli enti governativi. Inoltre, sono spesso oggetto di attacchi le organizzazioni operanti nei settori tecnologico, militare, dei media, delle forze dell'ordine e chimico, spesso nell'ambito di campagne più ampie di sorveglianza o di sabotaggio.
Le vittime di APT34
Tra le operazioni più rilevanti figurano la compromissione di portali israeliani dedicati alle risorse umane e al lavoro, finalizzata alla creazione di infrastrutture Command and Control C2), nonché attività di ricognizione rivolte a organizzazioni in Giordania e Siria mediante l'uso di scanner di vulnerabilità open source. Il gruppo ha alle spalle una storia di attacchi alla catena di approvvigionamento, in cui ha abusato dei rapporti di fiducia per espandersi verso obiettivi di maggior valore all'interno dei settori governativi o delle infrastrutture critiche.
Il metodo di attacco di APT34
APT34 ricorre solitamente a phishing (talvolta inviate da account compromessi) e a messaggi su LinkedIn per diffondere i propri payload. Inoltre, crea siti web fasulli relativi a VPN o al mondo del lavoro per attirare le vittime.
Sfruttano vulnerabilità come CVE-2024-30088 e utilizzano strumenti per l'estrazione delle credenziali (ad esempio Mimikatz) per ottenere l'accesso a livello di sistema o di dominio.
APT34 elude il rilevamento ricorrendo all'offuscamento, all'uso di malware firmato, alla disattivazione dei firewall di sistema e a tecniche di rimozione degli indicatori.
Strumenti come LaZagne, PICKPOCKET e VALUEVAULT vengono utilizzati per estrarre le credenziali dai browser, dalla memoria LSASS e dal Gestore delle credenziali di Windows.
Effettuano un'approfondita attività di ricognizione utilizzando strumenti quali SoftPerfect Network Scanner, WMI e vari script per interrogare il Registro di sistema, gli account utente e i servizi.
Utilizzando account validi, RDP, VPN, Plink e SSH, si spostano da un sistema all'altro e attraversano le reti senza essere individuati.
APT34 utilizza keylogger, programmi per il furto dei dati degli appunti, strumenti per l'estrazione dei dati dai browser e strumenti automatizzati per raccogliere credenziali e file sensibili.
I payload vengono eseguiti tramite PowerShell, macro VBScript, file batch, WMI e file HTML Help (CHM).
I dati vengono sottratti tramite HTTP, tunneling DNS, FTP e persino tramite account di posta elettronica compromessi.
L'obiettivo principale è il furto di dati piuttosto che la loro distruzione. Il loro impatto è di natura strategica e si concentra sulla raccolta di informazioni piuttosto che sul sabotaggio.
APT34 ricorre solitamente a phishing (talvolta inviate da account compromessi) e a messaggi su LinkedIn per diffondere i propri payload. Inoltre, crea siti web fasulli relativi a VPN o al mondo del lavoro per attirare le vittime.
Sfruttano vulnerabilità come CVE-2024-30088 e utilizzano strumenti per l'estrazione delle credenziali (ad esempio Mimikatz) per ottenere l'accesso a livello di sistema o di dominio.
APT34 elude il rilevamento ricorrendo all'offuscamento, all'uso di malware firmato, alla disattivazione dei firewall di sistema e a tecniche di rimozione degli indicatori.
Strumenti come LaZagne, PICKPOCKET e VALUEVAULT vengono utilizzati per estrarre le credenziali dai browser, dalla memoria LSASS e dal Gestore delle credenziali di Windows.
Effettuano un'approfondita attività di ricognizione utilizzando strumenti quali SoftPerfect Network Scanner, WMI e vari script per interrogare il Registro di sistema, gli account utente e i servizi.
Utilizzando account validi, RDP, VPN, Plink e SSH, si spostano da un sistema all'altro e attraversano le reti senza essere individuati.
APT34 utilizza keylogger, programmi per il furto dei dati degli appunti, strumenti per l'estrazione dei dati dai browser e strumenti automatizzati per raccogliere credenziali e file sensibili.
I payload vengono eseguiti tramite PowerShell, macro VBScript, file batch, WMI e file HTML Help (CHM).
I dati vengono sottratti tramite HTTP, tunneling DNS, FTP e persino tramite account di posta elettronica compromessi.
L'obiettivo principale è il furto di dati piuttosto che la loro distruzione. Il loro impatto è di natura strategica e si concentra sulla raccolta di informazioni piuttosto che sul sabotaggio.
TTP utilizzati da APT34
Come individuare APT34 con Vectra AI
Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco APT.
Domande frequenti
Chi c'è dietro APT34?
Si ritiene che l'APT34 operi sotto l'egida del Ministero dell'Intelligence e della Sicurezza iraniano (MOIS), concentrandosi sul cyberspionaggio in linea con gli interessi dello Stato.
Quali sono i metodi di accesso iniziale più comuni utilizzati da APT34?
Principalmente phishing , siti web compromessi e attività sui social media, compreso phishing su LinkedIn.
Quali tipi di malware APT34?
malware personalizzati malware Helminth, SaitamaAgent, AgentDrable, EarthquakeRAT e varie web shell (TwoFace, IntrudingDivisor).
In che modo APT34 mantiene la propria presenza nelle reti delle vittime?
Attraverso attività pianificate, l'uso improprio della pagina iniziale di Outlook e strumenti di accesso remoto come ngrok e i software VPN.
In che modo APT34 sottrae i dati?
Tramite canali HTTP/DNS, FTP o persino l'invio di dati tramite account di posta elettronica compromessi.
Quali vulnerabilità ha sfruttato APT34 in contesti reali?
I CVE includono CVE-2017-0199, CVE-2017-11882, CVE-2020-0688, CVE-2018-15982 e CVE-2024-30088.
Quali strumenti vengono utilizzati per l'accesso alle credenziali?
Tra gli strumenti figurano Mimikatz, LaZagne, VALUEVAULT e strumenti per l'estrazione dei dati basati su browser come CDumper ed EDumper.
In che modo le organizzazioni possono individuare l'attività di APT34?
Controlla eventuali usi impropri di PowerShell, tunneling DNS insolito, modifiche sospette al Registro di sistema relative alla pagina iniziale di Outlook e connessioni VPN impreviste.
Qual è il modo migliore per reagire a un'intrusione da parte di APT34?
Isolare i sistemi compromessi, verificare l'eventuale riutilizzo delle credenziali, rimuovere i meccanismi di persistenza e analizzare i log alla ricerca di modelli di traffico C2 (ad esempio, richieste HTTP POST o query DNS insolite).
Quali soluzioni di rilevamento sono efficaci contro APT34?
Le soluzioni di rilevamento e risposta di rete (NDR) sono estremamente efficaci contro APT34, in quanto offrono una visibilità approfondita sul traffico est-ovest e rilevano tecniche di occultamento quali il tunneling DNS e l'abuso dei protocolli. Se integrate con Endpoint e risposta Endpoint (EDR) per il monitoraggio di PowerShell e WMI e con sistemi SIEM per la correlazione dei comportamenti di escalation dei privilegi e di movimento laterale, le organizzazioni possono mettere in atto una difesa completa e a più livelli.