Η ομάδα APT34 έκανε ξανά την εμφάνισή της με μια νέα επίθεση. Η ομάδα, που σχετίζεται με το Ιράν, είναι ενεργή από το 2014 και στοχεύει κυρίως οργανισμούς στον οικονομικό, κυβερνητικό, ενεργειακό και τηλεπικοινωνιακό τομέα στις Ηνωμένες Πολιτείες και τις χώρες της Μέσης Ανατολής.
Κάποιοι ερευνητές από την εταιρεία FireEye αποκάλυψαν μια νέα εκστρατεία κατασκοπείας, που πραγματοποιήθηκε από την ομάδα APT34 (OilRig και HelixKitten, Greenbug). Οι hackers χρησιμοποίησαν το LinkedIn για την εκστρατεία τους. Συγκεκριμένα, τα μέλη της ομάδας παρουσιάστηκαν ως ερευνητές από το Cambridge και ζητούσαν από τα θύματα να συμμετάσχουν στο δίκτυό τους. Στόχος τους, φυσικά, είναι η διανομή κακόβουλου λογισμικού.
Οι ερευνητές ανακάλυψαν την εκστρατεία στα τέλη του Ιουνίου. Σύμφωνα με τα λεγόμενά τους, υπήρχαν τρία χαρακτηριστικά, που τους τράβηξαν την προσοχή:
- Η εμφάνιση των hackers ως καθηγητές-ερευνητές του Πανεπιστημίου του Cambridge για να κερδίσουν την εμπιστοσύνη των θυμάτων και να τους πείσουν να ανοίξουν κακόβουλα έγγραφα
- Χρήση του LinkedIn για την παράδοση κακόβουλων εγγράφων
- Προσθήκη τριών νέων οικογενειών κακόβουλου λογισμικού στα χέρια της ομάδας AP34
Ένα από τα εργαλεία, που χρησιμοποιούσε η ομάδα για τις επιθέσεις είναι το Pickpocket, το οποίο κλέβει δεδομένα και είναι αποκλειστικά συνδεδεμένο με τις επιθέσεις της APT34.
Ο αρχικός στόχος ήταν οργανισμοί στον τομέα της ενέργειας, του πετρελαίου και του φυσικού αερίου, καθώς και κυβερνητικές υπηρεσίες.
Οι hackers ζητούσαν από τα θύματα να ανοίξουν ένα μολυσμένο αρχείο excel με το όνομα ERFT-Details.xls. Έστελναν στο θύμα ένα μήνυμα από το LinkedIn, το οποίο υποτίθεται ότι προερχόταν από το “Ερευνητικό Προσωπικό του Πανεπιστημίου του Cambridge” και ζητούσαν βιογραφικά για πιθανές ευκαιρίες απασχόλησης.
Αυτή η τεχνική, κατά την οποία ο hacker προσπαθεί να κερδίσει την εμπιστοσύνη του θύματος είναι γνωστή σε πολλές εκστρατείες κατασκοπείας.
Τα τρία νέα κακόβουλα λογισμικά, που εντοπίστηκαν σε αυτή την εκστρατεία, έχουν ονομαστεί: TONEDEAF, VALUEVAULT και LONGWATCH.
Το Tonedeaf είναι ένα backdoor, που επικοινωνεί με έναν command-and-control server (C2) μέσω αιτημάτων HTTP GET και POST. Έχει τη δυνατότητα να συλλέγει πληροφορίες συστήματος, να μεταφορτώνει και να κάνει λήψη αρχείων, να εκτελεί αυθαίρετα εντολές.
Το ValueVault είναι ένα εργαλείο κλοπής credentials και το Longwatch είναι ένα keylogger.
“Υποψιαζόμαστε ότι δεν θα είναι η τελευταία φορά που η ομάδα APT34 φέρνει νέα εργαλεία”, δήλωσαν οι ερευνητές. Η ομάδα χρησιμοποιεί συνεχώς νέες μεθόδους για να αποφύγει τους μηχανισμούς ανίχνευσης, ειδικά εάν ο στόχος είναι πολύ σημαντικός. Γι’ αυτό το λόγο, η εταιρεία συνιστά στους οργανισμούς να προσέχουν πολύ και να φροντίζουν για την ασφάλεια των δεδομένων τους.
