APT33
APT33 ist eine mutmaßlich vom iranischen Staat gesponserte Bedrohungsgruppe, die mindestens seit 2013 aktiv ist und dafür bekannt ist, durch Cyberspionage und potenziell zerstörerische Operationen die Luft- und Raumfahrt-, Energie- und Verteidigungsbranche ins Visier zu nehmen.
Der Ursprung von APT33
PT33, auch bekannt als HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten und Peach Sandstorm, ist eine staatlich geförderte iranische Bedrohungsgruppe, die seit mindestens 2013 aktiv ist. Es wird vermutet, dass die Gruppe mit dem iranischen Korps der Islamischen Revolutionsgarden (IRGC) in Verbindung steht und iranische strategische Ziele durch Cyberspionage und möglicherweise zerstörerische Operationen unterstützt. APT33 ist vor allem für den Einsatz von Spearphishing, maßgeschneiderter malware und öffentlichen, offensiven Sicherheitstools bekannt und nutzt häufig Microsoft-Technologien, um sich Zugang zu Zielumgebungen zu verschaffen.
Länder, die im Visier von APT33 stehen
Die Operationen der APT33 richteten sich vor allem gegen die Vereinigten Staaten, Saudi-Arabien, die Vereinigten Arabischen Emirate und Südkorea. Diese Länder sind im Nahen Osten politisch und wirtschaftlich von Bedeutung und stehen oft in Opposition zur iranischen Außenpolitik. Cyber-Aktivitäten können auch dazu dienen, Informationen über kritische Infrastrukturen und technologische Fortschritte zu sammeln.
Von APT33 anvisierte Branchen
APT33 hat sich intensiv auf Organisationen in den Bereichen Luft- und Raumfahrt, Energie, Verteidigung, Technik und Industrie konzentriert. Ihr Interesse deckt sich mit den wirtschaftlichen und militärischen Zielen Irans, insbesondere in Bezug auf die Öl- und Gasinfrastruktur und die Verteidigungsfähigkeiten regionaler Gegner und globaler Konkurrenten.
Die Opfer von APT33
APT33 hat insbesondere US-amerikanische Technik- und Luft- und Raumfahrtunternehmen, saudi-arabische Öl- und Energiekonglomerate sowie kritische Infrastrukturen in den Vereinigten Arabischen Emiraten ins Visier genommen. Ihre Operationen umfassten sowohl Cyberspionage als auch die Vorbereitung potenziell zerstörerischer Angriffe, wie z. B. jene, die mit den malware in Verbindung gebracht werden, auch wenn die Zuordnung zu APT33 in einigen Fällen nur auf Indizien beruht.
Die Angriffsmethode von APT33
APT33 verwendet hauptsächlich Spearphishing-E-Mails mit bösartigen .hta-Links, bösartigen Dateien oder Archivanhängen. Sie haben auch gültige Konten kompromittiert, einschließlich Office 365 cloud , manchmal durch Passwort-Spraying.
Sicherheitslücken wie CVE-2017-0213 wurden zur lokalen Eskalation genutzt. Außerdem verwenden sie gültige administrative Anmeldeinformationen, die über Dumping-Tools erlangt wurden.
Die Persistenz wird durch Ausführungsschlüssel in der Registrierung, Startordner, geplante Aufgaben und WMI-Ereignisabonnements aufrechterhalten. APT33 verwendet verschlüsselte Nutzdaten (base64), verschlüsselte C2-Kanäle (AES), PowerShell-Verschleierung und benutzerdefinierte malware , um die Erkennung zu umgehen.
Das Sammeln von Anmeldeinformationen wird durch Tools wie LaZagne, Mimikatz und SniffPass erreicht, die auf Browser-Anmeldeinformationen, LSASS-Speicher, GPP-Passwörter und zwischengespeicherte Domänen-Anmeldeinformationen abzielen.
Sie verwenden gängige Skripte und Tools, um Systeme, Netzwerktopologie und Kontoprivilegien für laterale Bewegungen aufzuzählen.
Die Bewegung zwischen Systemen wird durch gesammelte Anmeldeinformationen, Remote-Desktop-Protokolle und einen gültigen Kontozugang erleichtert.
Sensible Dateien werden mit Tools wie WinRAR archiviert und können mit Hilfe von Backdoor-Implantaten auch Bildschirmabzüge enthalten.
Sie führen bösartige Nutzdaten über PowerShell und VBScript aus oder verleiten Benutzer dazu, bösartige Anhänge zu öffnen. Sie haben auch Software-Schwachstellen wie CVE-2017-11774 und CVE-2018-20250 ausgenutzt.
Die Daten werden über unverschlüsselte FTP-, HTTP- und HTTPS-Kanäle exfiltriert, manchmal über nicht standardisierte Ports (808/880 ) mit verschlüsselten Nutzdaten.
APT33 ist in erster Linie auf Spionage ausgerichtet, hat aber auch die Fähigkeit zu zerstörerischen Operationen, was durch Verbindungen zu Shamoon-ähnlichem Verhalten belegt wird, auch wenn dies nicht schlüssig bewiesen ist.
APT33 verwendet hauptsächlich Spearphishing-E-Mails mit bösartigen .hta-Links, bösartigen Dateien oder Archivanhängen. Sie haben auch gültige Konten kompromittiert, einschließlich Office 365 cloud , manchmal durch Passwort-Spraying.
Sicherheitslücken wie CVE-2017-0213 wurden zur lokalen Eskalation genutzt. Außerdem verwenden sie gültige administrative Anmeldeinformationen, die über Dumping-Tools erlangt wurden.
Die Persistenz wird durch Ausführungsschlüssel in der Registrierung, Startordner, geplante Aufgaben und WMI-Ereignisabonnements aufrechterhalten. APT33 verwendet verschlüsselte Nutzdaten (base64), verschlüsselte C2-Kanäle (AES), PowerShell-Verschleierung und benutzerdefinierte malware , um die Erkennung zu umgehen.
Das Sammeln von Anmeldeinformationen wird durch Tools wie LaZagne, Mimikatz und SniffPass erreicht, die auf Browser-Anmeldeinformationen, LSASS-Speicher, GPP-Passwörter und zwischengespeicherte Domänen-Anmeldeinformationen abzielen.
Sie verwenden gängige Skripte und Tools, um Systeme, Netzwerktopologie und Kontoprivilegien für laterale Bewegungen aufzuzählen.
Die Bewegung zwischen Systemen wird durch gesammelte Anmeldeinformationen, Remote-Desktop-Protokolle und einen gültigen Kontozugang erleichtert.
Sensible Dateien werden mit Tools wie WinRAR archiviert und können mit Hilfe von Backdoor-Implantaten auch Bildschirmabzüge enthalten.
Sie führen bösartige Nutzdaten über PowerShell und VBScript aus oder verleiten Benutzer dazu, bösartige Anhänge zu öffnen. Sie haben auch Software-Schwachstellen wie CVE-2017-11774 und CVE-2018-20250 ausgenutzt.
Die Daten werden über unverschlüsselte FTP-, HTTP- und HTTPS-Kanäle exfiltriert, manchmal über nicht standardisierte Ports (808/880 ) mit verschlüsselten Nutzdaten.
APT33 ist in erster Linie auf Spionage ausgerichtet, hat aber auch die Fähigkeit zu zerstörerischen Operationen, was durch Verbindungen zu Shamoon-ähnlichem Verhalten belegt wird, auch wenn dies nicht schlüssig bewiesen ist.
Von APT33 verwendete TTPs
Wie man APT33 mit Vectra AI AI erkennt
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist der Ursprung von APT33?
APT33 ist eine mutmaßlich vom iranischen Staat gesponserte Bedrohungsgruppe, die wahrscheinlich mit dem Korps der Islamischen Revolutionsgarden (IRGC) in Verbindung steht und mindestens seit 2013 aktiv ist.
Auf welche Branchen hat es APT33 abgesehen?
Sie konzentrieren sich auf die Bereiche Luft- und Raumfahrt, Energie, Verteidigung, Technik und Öl/Gas.
Welche Länder sind am stärksten betroffen?
Zu den Hauptzielen gehören die USA, Saudi-Arabien, die Vereinigten Arabischen Emirate und Südkorea.
Wie verschafft sich APT33 den ersten Zugang?
Durch Spearphishing-E-Mails mit bösartigen Anhängen oder Links und kompromittierte Office 365-Konten über Passwort-Spraying.
Welche malware oder Tools werden mit APT33 in Verbindung gebracht?
Zu den gängigen Tools gehören POWERTON, RemCos, DarkComet, PowerShell Empire, LaZagne, Mimikatz und SniffPass.
Stehen sie in Verbindung mit destruktiven Angriffen?
Obwohl APT33 in erster Linie auf Spionage ausgerichtet ist, gibt es potenzielle Verbindungen zu zerstörerischen Operationen wie Shamoon, auch wenn die Zuordnung noch nicht ganz klar ist.
Wie erhalten sie ihre Ausdauer?
Verwendung von Registrierungsschlüsseln, geplanten Aufgaben, WMI-Ereignisabonnements und Bereitstellung von RATs in Startordnern.
Wie können Unternehmen APT33-Aktivitäten erkennen?
Die Erkennung erfordert die Überwachung auf verdächtige PowerShell-Aktivitäten, verschlüsselten Netzwerkverkehr, WMI-Missbrauch und geplante Skriptausführungen. Die Verwendung von NDR-Tools wird empfohlen.
Welche Abhilfemaßnahmen sind gegen APT33 wirksam?
Verwenden Sie MFA, deaktivieren Sie die Ausführung von Makros, überwachen Sie nicht autorisierte Änderungen an der Registrierung, beschränken Sie den PowerShell-Zugriff, und stellen Sie eine Netzwerksegmentierung bereit.
Was ist das strategische Ziel der Gruppe?
APT33 betreibt Spionage zur Unterstützung der nationalen Interessen des Irans, insbesondere im Energie- und Verteidigungssektor des Nahen Ostens, mit der Möglichkeit zur Sabotage, wenn dies politisch zweckmäßig ist.