APT34
APT34, noto anche come OilRig o HELIX KITTEN, è un gruppo di cyber-spionaggio sponsorizzato dallo Stato iraniano attivo almeno dal 2014, noto per prendere di mira organizzazioni in tutto il Medio Oriente e oltre utilizzando sofisticatephishing e malware personalizzati.
L'origine di APT34
APT34 (noto anche come OilRig, HELIX KITTEN, CHRYSENE e COBALT GYPSY) è un gruppo iraniano sponsorizzato dallo Stato che opera come Advanced Persistent Threat (APT) almeno dal 2014. Si ritiene che il gruppo operi per conto del Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). APT34 si concentra principalmente sul raggiungimento degli obiettivi di intelligence geopolitica iraniani in Medio Oriente, Nord Africa (MENA) e in alcune parti dell'Eurasia. Noto per i suoi sofisticati set di strumenti personalizzati, le capacità di dirottamento DNS ephishing strategichephishing , APT34 spesso sfrutta l'ingegneria sociale e strumenti disponibili al pubblico per accedere e persistere nelle reti prese di mira.
Paesi presi di mira dall'APT34
Le operazioni dell'APT34 si concentrano principalmente sui paesi del Medio Oriente e dell'Eurasia orientale, tra cui Arabia Saudita, Emirati Arabi Uniti, Israele, Giordania, Libano, Iraq, Bahrein, Kuwait, Yemen, Siria e Qatar. La loro portata si estende anche al Sudafrica, alla Turchia, all'Azerbaigian e alle Mauritius, indicando un ampliamento degli interessi regionali e uno sforzo per raccogliere informazioni al di là dei confini immediati.
Settori presi di mira dall'APT34
APT34 prende di mira un'ampia gamma di settori, in particolare quelli che sono in linea con la raccolta di informazioni di interesse nazionale. Tra questi figurano istituzioni accademiche, energia (in particolare petrolio e gas), produzione, servizi finanziari, telecomunicazioni ed enti governativi. Inoltre, le organizzazioni che operano nei settori della tecnologia, militare, dei media, delle forze dell'ordine e dell'industria chimica sono spesso prese di mira, spesso nell'ambito di campagne di sorveglianza o di disturbo più ampie.
Le vittime dell'APT34
Tra le operazioni più rilevanti figurano la compromissione di portali israeliani dedicati alle risorse umane e al lavoro per creare un'infrastruttura Command and Control C2) e attività di ricognizione mirate a organizzazioni in Giordania e Siria utilizzando scanner di vulnerabilità open source. Il gruppo ha alle spalle una storia di compromissioni della catena di approvvigionamento, abusando dei rapporti di fiducia per passare a obiettivi di maggior valore all'interno del settore governativo o delle infrastrutture critiche.
Il metodo di attacco di APT34
APT34 utilizza tipicamente phishing (talvolta provenienti da account compromessi) e messaggi LinkedIn per distribuire i propri payload. Inoltre, crea VPN fasulle o siti web relativi al mondo del lavoro per attirare le vittime.
Sfruttano vulnerabilità come CVE-2024-30088 e utilizzano strumenti di dumping delle credenziali (ad esempio Mimikatz) per ottenere l'accesso a livello di SISTEMA o di dominio.
APT34 elude il rilevamento attraverso l'offuscamento, l'uso di malware firmato, la disattivazione dei firewall di sistema e tecniche di rimozione degli indicatori.
Strumenti come LaZagne, PICKPOCKET e VALUEVAULT vengono utilizzati per estrarre le credenziali dai browser, dalla memoria LSASS e da Windows Credential Manager.
Eseguono ricognizioni approfondite utilizzando strumenti come SoftPerfect Network Scanner, WMI e vari script per interrogare il registro, gli account utente e i servizi.
Utilizzando account validi, RDP, VPN, Plink e SSH, si muovono tra i sistemi e attraversano le reti senza essere rilevati.
APT34 utilizza keylogger, programmi per il furto dei dati dagli appunti, strumenti per l'estrazione dei dati dal browser e strumenti automatizzati per raccogliere credenziali e file sensibili.
I payload vengono eseguiti tramite PowerShell, macro VBScript, file batch, WMI e file di guida HTML (CHM).
I dati vengono sottratti utilizzando HTTP, tunneling DNS, FTP e persino tramite account di posta elettronica compromessi.
L'obiettivo principale è il furto di dati piuttosto che la loro distruzione. Il loro impatto è strategico, incentrato sulla raccolta di informazioni piuttosto che sul sabotaggio.
APT34 utilizza tipicamente phishing (talvolta provenienti da account compromessi) e messaggi LinkedIn per distribuire i propri payload. Inoltre, crea VPN fasulle o siti web relativi al mondo del lavoro per attirare le vittime.
Sfruttano vulnerabilità come CVE-2024-30088 e utilizzano strumenti di dumping delle credenziali (ad esempio Mimikatz) per ottenere l'accesso a livello di SISTEMA o di dominio.
APT34 elude il rilevamento attraverso l'offuscamento, l'uso di malware firmato, la disattivazione dei firewall di sistema e tecniche di rimozione degli indicatori.
Strumenti come LaZagne, PICKPOCKET e VALUEVAULT vengono utilizzati per estrarre le credenziali dai browser, dalla memoria LSASS e da Windows Credential Manager.
Eseguono ricognizioni approfondite utilizzando strumenti come SoftPerfect Network Scanner, WMI e vari script per interrogare il registro, gli account utente e i servizi.
Utilizzando account validi, RDP, VPN, Plink e SSH, si muovono tra i sistemi e attraversano le reti senza essere rilevati.
APT34 utilizza keylogger, programmi per il furto dei dati dagli appunti, strumenti per l'estrazione dei dati dal browser e strumenti automatizzati per raccogliere credenziali e file sensibili.
I payload vengono eseguiti tramite PowerShell, macro VBScript, file batch, WMI e file di guida HTML (CHM).
I dati vengono sottratti utilizzando HTTP, tunneling DNS, FTP e persino tramite account di posta elettronica compromessi.
L'obiettivo principale è il furto di dati piuttosto che la loro distruzione. Il loro impatto è strategico, incentrato sulla raccolta di informazioni piuttosto che sul sabotaggio.
TTP utilizzati da APT34
Come rilevare APT34 con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco APT.
Domande frequenti
Chi c'è dietro APT34?
Si ritiene che APT34 operi sotto il Ministero dell'Intelligence e della Sicurezza iraniano (MOIS), concentrandosi sullo spionaggio informatico in linea con gli interessi dello Stato.
Quali sono i metodi di accesso iniziale più comuni utilizzati da APT34?
Principalmente phishing , siti web compromessi e interazioni sui social media, compreso phishing basato su LinkedIn.
Quali tipi di malware APT34?
malware personalizzato malware Helminth, SaitamaAgent, AgentDrable, EarthquakeRAT e varie web shell (TwoFace, IntrudingDivisor).
In che modo APT34 mantiene la persistenza nelle reti delle vittime?
Attraverso attività pianificate, abuso della pagina iniziale di Outlook e strumenti di accesso remoto come ngrok e software VPN.
In che modo APT34 sottrae i dati?
Tramite canali HTTP/DNS, FTP o persino inviando dati tramite account e-mail compromessi.
Quali vulnerabilità ha sfruttato APT34 in natura?
I CVE includono CVE-2017-0199, CVE-2017-11882, CVE-2020-0688, CVE-2018-15982 e CVE-2024-30088.
Quali strumenti vengono utilizzati per l'accesso alle credenziali?
Gli strumenti includono Mimikatz, LaZagne, VALUEVAULT e programmi di dump dei dati basati su browser come CDumper ed EDumper.
Come possono le organizzazioni rilevare l'attività di APT34?
Monitorare eventuali utilizzi impropri di PowerShell, tunneling DNS insolito, modifiche sospette al registro della pagina iniziale di Outlook e connessioni VPN inattese.
Qual è il modo migliore per rispondere a un'intrusione APT34?
Isolare i sistemi interessati, verificare il riutilizzo delle credenziali, rimuovere i meccanismi di persistenza e analizzare i log alla ricerca di modelli di traffico C2 (ad esempio, POST HTTP insoliti o query DNS).
Quali soluzioni di rilevamento sono efficaci contro APT34?
Le soluzioni Network Detection and Response (NDR) sono altamente efficaci contro APT34, offrendo una visibilità approfondita sul traffico est-ovest e rilevando tecniche furtive come il tunneling DNS e l'abuso dei protocolli. Se combinate con Endpoint and Response (EDR) per il monitoraggio di PowerShell e WMI e SIEM per correlare l'escalation dei privilegi e i comportamenti di movimento laterale, le organizzazioni possono stabilire una difesa completa e stratificata.