APT34

L'APT34 (Advanced Persistent Threat) est un groupe de piratage basé en Iran, également connu sous le nom de OilRig, Helix Kitten et Greenbug. Les experts en logiciels malveillants pensent que le groupe de piratage APT34 est parrainé par le gouvernement iranien et est utilisé pour promouvoir les intérêts iraniens dans le monde. Le groupe de piratage APT34 a été repéré pour la première fois en 2014. Ce groupe de piratage parrainé par l'État a tendance à cibler les sociétés et institutions étrangères des secteurs de l'énergie, de la finance, de la chimie et de la défense.

Fonctionne au Moyen-Orient

L'activité de l'APT34 se concentre principalement dans la région du Moyen-Orient. Souvent, les groupes de piratage exploitaient des exploits connus dans des logiciels obsolètes. Cependant, l'APT34 préfère propager ses menaces en utilisant des techniques d'ingénierie sociale. Le groupe est connu pour son utilisation de techniques rarement vues - par exemple, l'utilisation du protocole DNS pour établir un canal de communication entre l'hôte infecté et le serveur de contrôle. Ils s'appuient également régulièrement sur des outils de piratage fabriqués par eux-mêmes, au lieu d'opter pour des outils publics.

La porte dérobée Tonedeaf

Dans l'une de ses dernières campagnes, l'APT34 cible les salariés du secteur de l'énergie ainsi que les personnes travaillant dans des gouvernements étrangers. L'APT34 a construit un faux réseau social et s'est ensuite fait passer pour un représentant de l'université de Cambridge qui cherche à embaucher du personnel. Ils sont même allés jusqu'à générer un faux profil LinkedIn, destiné à convaincre l'utilisateur du PC de la légitimité de l'offre d'emploi. L'APT34 enverrait à la victime ciblée un message qui contiendrait un fichier appelé "ERFT-Details.xls" contenant la charge utile du malware. Le logiciel malveillant déposé s'appelle la porte dérobée Tonedeaf et, lors de son exécution, se connecte immédiatement au serveur C&C (Command & Control) des attaquants. Ceci est réalisé via les requêtes POST et HTTP GET. Le malware Tonedeaf est capable de :

• Télécharger des fichiers.
• Telecharger des fichiers.
• Rassemblez des informations sur le système compromis.
• Exécutez les commandes du shell.

Outre ses principales capacités, la porte dérobée Tonedeaf sert de passerelle à l'APT34 pour implanter davantage de logiciels malveillants sur l'hôte infecté.

Le groupe n'est certainement pas satisfait d'avoir le contrôle sur un seul des systèmes de l'organisation compromise. Ils ont été vus en train d'utiliser des outils de collecte de mots de passe pour accéder régulièrement aux identifiants de connexion, puis d'essayer de les utiliser pour infiltrer d'autres systèmes trouvés sur le même réseau d'entreprise.

L'APT34 a tendance à utiliser des outils de piratage qu'ils ont principalement développés, mais parfois ils utilisent également des outils accessibles au public dans leurs campagnes.