APT34
APT34, noto anche come OilRig o HELIX KITTEN, è un gruppo di cyberspionaggio sponsorizzato dallo Stato iraniano attivo almeno dal 2014, noto per aver preso di mira organizzazioni in tutto il Medio Oriente e oltre, utilizzando sofisticate campagne di phishing e malware personalizzato.
L'origine di APT34
APT34 (noto anche come OilRig, HELIX KITTEN, CHRYSENE e COBALT GYPSY) è un gruppo di Advanced Persistent Threat (APT) sponsorizzato dallo Stato iraniano attivo almeno dal 2014. Si ritiene che il gruppo operi per conto del Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). APT34 si concentra principalmente sulla realizzazione di obiettivi di intelligence geopolitica iraniana in Medio Oriente, Nord Africa (MENA) e parti dell'Eurasia. Conosciuta per i suoi sofisticati set di strumenti personalizzati, le capacità di dirottamento DNS e le campagne strategiche di phishing , l'APT34 spesso sfrutta l'ingegneria sociale e gli strumenti pubblicamente disponibili per accedere e persistere nelle reti mirate.
Paesi presi di mira da APT34
Le operazioni dell'APT34 si concentrano principalmente sui Paesi del Medio Oriente e dell'Eurasia orientale, tra cui Arabia Saudita, Emirati Arabi Uniti, Israele, Giordania, Libano, Iraq, Bahrein, Kuwait, Yemen, Siria e Qatar. Il loro raggio d'azione si estende anche al Sudafrica, alla Turchia, all'Azerbaigian e alle Mauritius, indicando un interesse regionale sempre più ampio e uno sforzo per raccogliere informazioni al di là del vicinato.
Settori presi di mira da APT34
L'APT34 prende di mira un'ampia gamma di settori, soprattutto quelli che si allineano alla raccolta di informazioni di interesse nazionale. Tra questi vi sono le istituzioni accademiche, l'energia (in particolare petrolio e gas), l'industria manifatturiera, i servizi finanziari, le telecomunicazioni e gli enti governativi. Inoltre, le organizzazioni dei settori tecnologico, militare, dei media, delle forze dell'ordine e chimico sono spesso prese di mira, spesso come parte di campagne di sorveglianza o di disturbo più ampie.
Le vittime di APT34
Tra le operazioni degne di nota, la compromissione delle risorse umane israeliane e dei portali di lavoro per creare un'infrastruttura Command and Control (C2) e le attività di ricognizione delle organizzazioni in Giordania e Siria, utilizzando scanner di vulnerabilità open-source. Il gruppo ha una storia di compromissioni della catena di approvvigionamento, abusando dei rapporti di fiducia per passare a obiettivi di maggior valore all'interno di settori governativi o di infrastrutture critiche.
Il metodo di attacco di APT34
L'APT34 utilizza tipicamente e-mail di phishing (a volte da account compromessi) e messaggi di LinkedIn per consegnare i payload. Inoltre, per attirare le vittime, creano falsi siti web di VPN o di lavoro.
Sfruttano vulnerabilità come CVE-2024-30088 e utilizzano strumenti di dumping delle credenziali (ad esempio, Mimikatz) per ottenere l'accesso a livello di SISTEMA o di dominio.
L'APT34 elude il rilevamento attraverso l'offuscamento, l'uso di malware firmato, la disabilitazione dei firewall di sistema e le tecniche di rimozione degli indicatori.
Strumenti come LaZagne, PICKPOCKET e VALUEVAULT vengono utilizzati per scaricare le credenziali dai browser, dalla memoria LSASS e da Windows Credential Manager.
Eseguono una ricognizione approfondita utilizzando strumenti come SoftPerfect Network Scanner, WMI e vari script per interrogare il registro, gli account utente e i servizi.
Utilizzando account validi, RDP, VPN, Plink e SSH, si muovono attraverso i sistemi e le reti senza essere scoperti.
APT34 utilizza keylogger, ruba dati degli appunti, estrattori di dati del browser e strumenti automatizzati per raccogliere credenziali e file sensibili.
I payload vengono eseguiti tramite PowerShell, macro VBScript, file batch, WMI e file di guida HTML (CHM).
L'esfiltrazione dei dati avviene tramite HTTP, tunneling DNS, FTP e persino tramite account e-mail compromessi.
L'obiettivo primario è il furto di dati piuttosto che la distruzione. Il loro impatto è strategico e si concentra sulla raccolta di informazioni piuttosto che sul sabotaggio.
L'APT34 utilizza tipicamente e-mail di phishing (a volte da account compromessi) e messaggi di LinkedIn per consegnare i payload. Inoltre, per attirare le vittime, creano falsi siti web di VPN o di lavoro.
Sfruttano vulnerabilità come CVE-2024-30088 e utilizzano strumenti di dumping delle credenziali (ad esempio, Mimikatz) per ottenere l'accesso a livello di SISTEMA o di dominio.
L'APT34 elude il rilevamento attraverso l'offuscamento, l'uso di malware firmato, la disabilitazione dei firewall di sistema e le tecniche di rimozione degli indicatori.
Strumenti come LaZagne, PICKPOCKET e VALUEVAULT vengono utilizzati per scaricare le credenziali dai browser, dalla memoria LSASS e da Windows Credential Manager.
Eseguono una ricognizione approfondita utilizzando strumenti come SoftPerfect Network Scanner, WMI e vari script per interrogare il registro, gli account utente e i servizi.
Utilizzando account validi, RDP, VPN, Plink e SSH, si muovono attraverso i sistemi e le reti senza essere scoperti.
APT34 utilizza keylogger, ruba dati degli appunti, estrattori di dati del browser e strumenti automatizzati per raccogliere credenziali e file sensibili.
I payload vengono eseguiti tramite PowerShell, macro VBScript, file batch, WMI e file di guida HTML (CHM).
L'esfiltrazione dei dati avviene tramite HTTP, tunneling DNS, FTP e persino tramite account e-mail compromessi.
L'obiettivo primario è il furto di dati piuttosto che la distruzione. Il loro impatto è strategico e si concentra sulla raccolta di informazioni piuttosto che sul sabotaggio.
TTP utilizzati dall'APT34
Come rilevare APT34 con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco APT.
DOMANDE FREQUENTI
Chi c'è dietro l'APT34?
Si ritiene che l'APT34 operi sotto il Ministero dell'Intelligence e della Sicurezza iraniano (MOIS), concentrandosi sullo spionaggio informatico in linea con gli interessi dello Stato.
Quali sono i metodi di accesso iniziale più comuni di APT34?
Principalmente e-mail di phishing , siti web compromessi e coinvolgimento nei social media, compreso il phishing basato su LinkedIn.
Quali tipi di malware utilizza APT34?
malware personalizzato come Helminth, SaitamaAgent, AgentDrable, EarthquakeRAT e varie shell web (TwoFace, IntrudingDivisor).
In che modo l'APT34 mantiene la persistenza nelle reti delle vittime?
Attraverso attività pianificate, abuso della Home Page di Outlook e strumenti di accesso remoto come ngrok e software VPN.
Come fa APT34 a esfiltrare i dati?
Tramite canali HTTP/DNS, FTP o persino inviando dati attraverso account di posta elettronica compromessi.
Quali vulnerabilità ha sfruttato APT34 in natura?
Le CVE includono CVE-2017-0199, CVE-2017-11882, CVE-2020-0688, CVE-2018-15982 e CVE-2024-30088.
Quali strumenti vengono utilizzati per l'accesso alle credenziali?
Gli strumenti includono Mimikatz, LaZagne, VALUEVAULT e i dumpers di dati basati su browser come CDumper e EDumper.
Come possono le organizzazioni rilevare l'attività di APT34?
Monitorate l'uso improprio di PowerShell, il tunneling DNS insolito, le modifiche al registro di Outlook Home Page sospette e le connessioni VPN inaspettate.
Qual è il modo migliore per rispondere a un'intrusione APT34?
Isolare i sistemi interessati, verificare il riutilizzo delle credenziali, rimuovere i meccanismi di persistenza e analizzare i registri per individuare modelli di traffico C2 (ad esempio, POST HTTP o query DNS insoliti).
Quali soluzioni di rilevamento sono efficaci contro l'APT34?
Le soluzioni di Network Detection and Response (NDR) sono molto efficaci contro le APT34, in quanto offrono una visibilità profonda del traffico est-ovest, rilevando tecniche furtive come il tunneling DNS e l'abuso di protocollo. Se combinate con l'Endpoint Detection and Response (EDR) per il monitoraggio di PowerShell e WMI, e con il SIEM per la correlazione dei comportamenti di escalation dei privilegi e di movimento laterale, le organizzazioni possono stabilire una difesa completa e stratificata.