APT34

APT34 Descripción

APT34 (Advanced Persistent Threat) es un grupo de piratería con sede en Irán que también se conoce como OilRig, Helix Kitten y Greenbug. Los expertos en malware creen que el grupo de piratería APT34 está patrocinado por el gobierno iraní y se utiliza para promover los intereses iraníes a nivel mundial. El grupo de piratería APT34 fue visto por primera vez en 2014. Este grupo de piratería patrocinado por el estado tiende a apuntar a corporaciones e instituciones extranjeras en las industrias energética, financiera, química y de defensa.

Opera en el Medio Oriente

La actividad de la APT34 se concentra principalmente en la región de Oriente Medio. A menudo, los grupos de piratas informáticos explotarían vulnerabilidades conocidas en software obsoleto. Sin embargo, APT34 prefiere propagar sus amenazas utilizando técnicas de ingeniería social. El grupo es conocido por su uso de técnicas raramente vistas, por ejemplo, empleando el protocolo DNS para establecer un canal de comunicación entre el host infectado y el servidor de control. También confían regularmente en herramientas de piratería hechas por ellos mismos, en lugar de optar por usar las públicas.

La puerta trasera Tonedeaf

En una de sus últimas campañas, APT34 se dirige a los empleados del sector energético, así como a las personas que trabajan en gobiernos extranjeros. El APT34 creó una red social falsa y luego se hizo pasar por un representante de la Universidad de Cambridge que busca contratar personal. Incluso han llegado a generar un perfil de LinkedIn falso, que pretende convencer al usuario de PC de la legitimidad de la oferta de trabajo. El APT34 enviaría a la víctima objetivo un mensaje que contendría un archivo llamado 'ERFT-Details.xls' que contiene la carga útil del malware. El malware lanzado se llama puerta trasera Tonedeaf y, una vez ejecutado, se conectaría al servidor C&C (Comando y control) de los atacantes de inmediato. Esto se logra a través de solicitudes POST y HTTP GET. El malware Tonedeaf es capaz de:

  • Subir archivos.
  • Descargar archivos.
  • Recopile información sobre el sistema comprometido.
  • Ejecutar comandos de shell.

Aparte de sus capacidades principales, la puerta trasera Tonedeaf sirve como puerta de entrada para que APT34 plante más malware en el host infectado.

El grupo ciertamente no está contento con tener el control de solo uno de los sistemas de la organización comprometida. Fueron vistos usando herramientas de recopilación de contraseñas para acceder a las credenciales de inicio de sesión con regularidad y luego intentar usarlas para infiltrarse en otros sistemas que se encuentran en la misma red de la empresa.

La APT34 tiende a utilizar herramientas de piratería que han desarrollado principalmente, pero a veces también emplean herramientas disponibles públicamente en sus campañas.