skip to Main Content

APT34, un nuovo gruppo di cyber spie iraniano scoperto da FireEye

APT34, Un Nuovo Gruppo Di Cyber Spie Iraniano Scoperto Da FireEye

APT34 ha lanciato un cyber attacco contro un’organizzazione governativa in Medio Oriente poco dopo che Microsoft aveva diffuso una security patch

Si chiama APT34 (Advanced Persistent Threat 34) ed è un gruppo di cyber spie iraniano, che opera almeno dal 2014. Lo hanno scoperto i ricercatori di sicurezza informatica di FireEye. Gli analisti lo hanno rilevato a seguito del fatto che ha cercato di usare una vulnerabilità di Office per prendere di mira un’organizzazione governativa in Medio Oriente. Ciò nonostante solo una settimana prima Microsoft avesse diffuso una patch per incrementare la cybersecurity dei suoi prodotti e sistemi. Gli hacker di Teheran hanno usato una backdoor PowerShell custom per infiltrarsi. Ma sono stati bloccati prima che riuscissero a causare danni.

Quali sono gli obiettivi delle cyber spie iraniane?

APT34 è coinvolta in un’operazione di cyber spionaggio da lungo tempo. Questa è focalizzata in sforzi di ricognizione per portare benefici agli interessi nazionali iraniani. A proposito, gli hacker di stato hanno attaccato un’ampia gamma di bersagli nel settore industriale, finanziario, governativo, chimico, energetico e delle telecomunicazioni. Soprattutto in Medio Oriente. FireEye è convinta che le cyber spie operino per Teheran a seguito di vari elementi. Dal fatto che i dettagli dell’infrastruttura contengano referenze alla Repubblica Sciita all’uso di sistemi nel paese. Ciò senza contare che i bersagli sono in linea con gli interessi nazionali iraniani.

Le strategie, tattiche e procedure (TTP) di APT34

APT34 usa per condurre le sue campagne di cyber spionaggio una serie di tool pubblici e non. Conduce spesso operazioni di spear phishing usando account compromessi, a volte abbinate a tattiche di social engineering. FireEye a maggio del 2016 aveva pubblicato un rapporto su una campagna di questo tipo (OilRig) che aveva colpito le banche in Medio Oriente con il malware POWBAT. Oggi gli esperi di sicurezza informatica dell’azienda sono in grado di attribuire l’offensiva agli hacker di stato iraniani. Non solo. A luglio del 2017, il cyber army di Teheran ha preso di mira un’organizzazione nella Regione usando una backdoor basata su PowerShell di produzione propria. Questa è stata chiamata POWRUNER. Inoltre, ha impiegato un downloader con un algoritmo di generazione di dominio soprannominato BONDUPDATER. Nell’ultima campagna i due malware sono stati usati entrambi.

 

Back To Top