APT34
APT34, auch bekannt als OilRig oder HELIX KITTEN, ist eine vom iranischen Staat gesponserte Cyberspionage-Gruppe, die mindestens seit 2014 aktiv ist und dafür bekannt ist, Organisationen im gesamten Nahen Osten und darüber hinaus mit ausgeklügelten phishing und maßgeschneiderter malware anzugreifen.
Der Ursprung von APT34
APT34 (auch bekannt als OilRig, HELIX KITTEN, CHRYSENE und COBALT GYPSY) ist eine vom iranischen Staat gesponserte Advanced Persistent Threat (APT)-Gruppe, die mindestens seit 2014 aktiv ist. Es wird angenommen, dass die Gruppe im Auftrag des iranischen Ministeriums für Nachrichtenwesen und Sicherheit (MOIS) operiert. APT34 konzentriert sich in erster Linie auf die Erfüllung iranischer geopolitischer Geheimdienstziele im gesamten Nahen Osten, Nordafrika (MENA) und in Teilen Eurasiens. APT34 ist bekannt für seine ausgefeilten benutzerdefinierten Tools, DNS-Hijacking-Fähigkeiten und strategischen phishing und nutzt häufig Social Engineering und öffentlich verfügbare Tools, um sich Zugang zu den Zielnetzwerken zu verschaffen und dort zu bleiben.
Länder, die im Visier der APT34 stehen
Die Operationen der APT34 konzentrieren sich in erster Linie auf Länder des Nahen Ostens und Osteurasiens, darunter Saudi-Arabien, die Vereinigten Arabischen Emirate, Israel, Jordanien, Libanon, Irak, Bahrain, Kuwait, Jemen, Syrien und Katar. Ihre Reichweite erstreckt sich auch auf Südafrika, die Türkei, Aserbaidschan und Mauritius, was auf ein wachsendes regionales Interesse und das Bestreben hinweist, Informationen über die unmittelbare Nachbarschaft hinaus zu sammeln.
Von APT34 anvisierte Branchen
APT34 zielt auf ein breites Spektrum von Sektoren ab, insbesondere auf solche, die für die Sammlung von Informationen von nationalem Interesse sind. Dazu gehören akademische Einrichtungen, Energie (insbesondere Öl und Gas), Fertigung, Finanzdienstleistungen, Telekommunikation und Regierungsstellen. Darüber hinaus werden häufig Organisationen in der Technologie-, Militär-, Medien-, Strafverfolgungs- und Chemieindustrie ins Visier genommen, oft als Teil umfassenderer Überwachungs- oder Störungskampagnen.
Die Opfer von APT34
Zu den bemerkenswerten Operationen gehörten die Kompromittierung israelischer Personal- und Stellenportale, um eine Command and Control aufzubauen, sowie Aufklärungsaktivitäten, die auf Organisationen in Jordanien und Syrien abzielten und Open-Source-Schwachstellen-Scanner verwendeten. Die Gruppe hat in der Vergangenheit immer wieder die Lieferkette kompromittiert und dabei Vertrauensbeziehungen missbraucht, um auf höherwertige Ziele innerhalb von Regierungen oder kritischen Infrastrukturen überzugehen.
Die Angriffsmethode von APT34
APT34 verwendet in der Regel phishing (manchmal von kompromittierten Konten) sowie LinkedIn-Nachrichten, um Nutzdaten zu übermitteln. Sie richten auch gefälschte VPN- oder berufsbezogene Websites ein, um Opfer anzulocken.
Sie nutzen Schwachstellen wie CVE-2024-30088 aus und verwenden Tools für das Dumping von Anmeldeinformationen (z. B. Mimikatz), um Zugriff auf SYSTEM- oder Domänenebene zu erhalten.
APT34 umgeht die Entdeckung durch Verschleierung, Verwendung signierter malware, Deaktivierung von System-Firewalls und Techniken zur Entfernung von Indikatoren.
Tools wie LaZagne, PICKPOCKET und VALUEVAULT werden verwendet, um Anmeldeinformationen aus Browsern, dem LSASS-Speicher und dem Windows Credential Manager auszulesen.
Mit Tools wie SoftPerfect Network Scanner, WMI und verschiedenen Skripten zur Abfrage von Registrierung, Benutzerkonten und Diensten führen sie umfangreiche Erkundungen durch.
Sie nutzen gültige Konten, RDP, VPN, Plink und SSH, um sich zwischen Systemen zu bewegen und unentdeckt durch Netzwerke zu gelangen.
APT34 verwendet Keylogger, Zwischenablage-Datendiebe, Browser-Datenextraktoren und automatisierte Tools, um Anmeldedaten und sensible Dateien zu sammeln.
Die Nutzdaten werden über PowerShell, VBScript-Makros, Batch-Dateien, WMI und HTML-Hilfedateien (CHM) ausgeführt.
Die Daten werden über HTTP, DNS-Tunneling, FTP und sogar über kompromittierte E-Mail-Konten exfiltriert.
Das Hauptziel ist der Datendiebstahl und nicht die Zerstörung. Ihre Wirkung ist strategisch und konzentriert sich eher auf die Sammlung von Informationen als auf Sabotage.
APT34 verwendet in der Regel phishing (manchmal von kompromittierten Konten) sowie LinkedIn-Nachrichten, um Nutzdaten zu übermitteln. Sie richten auch gefälschte VPN- oder berufsbezogene Websites ein, um Opfer anzulocken.
Sie nutzen Schwachstellen wie CVE-2024-30088 aus und verwenden Tools für das Dumping von Anmeldeinformationen (z. B. Mimikatz), um Zugriff auf SYSTEM- oder Domänenebene zu erhalten.
APT34 umgeht die Entdeckung durch Verschleierung, Verwendung signierter malware, Deaktivierung von System-Firewalls und Techniken zur Entfernung von Indikatoren.
Tools wie LaZagne, PICKPOCKET und VALUEVAULT werden verwendet, um Anmeldeinformationen aus Browsern, dem LSASS-Speicher und dem Windows Credential Manager auszulesen.
Mit Tools wie SoftPerfect Network Scanner, WMI und verschiedenen Skripten zur Abfrage von Registrierung, Benutzerkonten und Diensten führen sie umfangreiche Erkundungen durch.
Sie nutzen gültige Konten, RDP, VPN, Plink und SSH, um sich zwischen Systemen zu bewegen und unentdeckt durch Netzwerke zu gelangen.
APT34 verwendet Keylogger, Zwischenablage-Datendiebe, Browser-Datenextraktoren und automatisierte Tools, um Anmeldedaten und sensible Dateien zu sammeln.
Die Nutzdaten werden über PowerShell, VBScript-Makros, Batch-Dateien, WMI und HTML-Hilfedateien (CHM) ausgeführt.
Die Daten werden über HTTP, DNS-Tunneling, FTP und sogar über kompromittierte E-Mail-Konten exfiltriert.
Das Hauptziel ist der Datendiebstahl und nicht die Zerstörung. Ihre Wirkung ist strategisch und konzentriert sich eher auf die Sammlung von Informationen als auf Sabotage.
Von APT34 verwendete TTPs
Wie man APT34 mit Vectra AI AI erkennt
Liste der in der Vectra AI verfügbaren Erkennungen, die auf einen APT-Angriff hindeuten würden.
Häufig gestellte Fragen
Wer steckt hinter APT34?
Es wird vermutet, dass APT34 unter dem iranischen Ministerium für Nachrichtendienst und Sicherheit (MOIS) operiert und sich auf Cyber-Spionage im Einklang mit staatlichen Interessen konzentriert.
Welches sind die gängigsten Methoden für den Erstzugang von APT34?
In erster Linie phishing , kompromittierte Websites und Engagement in sozialen Medien, einschließlich phishing.
Welche Arten von malware verwendet APT34?
Benutzerdefinierte malware wie Helminth, SaitamaAgent, AgentDrable, EarthquakeRAT und verschiedene Web-Shells (TwoFace, IntrudingDivisor).
Wie hält sich APT34 in den Netzwerken der Opfer?
Durch geplante Aufgaben, Missbrauch der Outlook-Startseite und Fernzugriffstools wie ngrok und VPN-Software.
Wie exfiltriert APT34 Daten?
Über HTTP/DNS-Kanäle, FTP oder sogar das Senden von Daten über kompromittierte E-Mail-Konten.
Welche Schwachstellen hat APT34 in freier Wildbahn ausgenutzt?
Zu den CVEs gehören CVE-2017-0199, CVE-2017-11882, CVE-2020-0688, CVE-2018-15982 und CVE-2024-30088.
Welche Tools werden für den Zugriff auf Anmeldeinformationen verwendet?
Zu den Tools gehören Mimikatz, LaZagne, VALUEVAULT und browserbasierte Datendumper wie CDumper und EDumper.
Wie können Unternehmen APT34-Aktivitäten erkennen?
Überwachen Sie auf PowerShell-Missbrauch, ungewöhnliches DNS-Tunneling, verdächtige Registrierungsänderungen der Outlook-Startseite und unerwartete VPN-Verbindungen.
Wie reagiert man am besten auf einen APT34-Eindringling?
Isolieren Sie betroffene Systeme, prüfen Sie, ob Anmeldeinformationen wiederverwendet werden, entfernen Sie Persistenzmechanismen und analysieren Sie Protokolle auf C2-Verkehrsmuster (z. B. ungewöhnliche HTTP-POSTs oder DNS-Anfragen).
Welche Erkennungslösungen sind gegen APT34 wirksam?
Netzwerkerkennungs- und -reaktionslösungen (Network Detection and Response, NDR) sind äußerst wirksam gegen APT34, da sie einen tiefen Einblick in den Ost-West-Verkehr bieten und verdeckte Techniken wie DNS-Tunneling und Protokollmissbrauch erkennen. In Kombination mit Endpoint Detection and Response (EDR) zur Überwachung von PowerShell und WMI sowie SIEM zur Korrelation von Privilegieneskalation und Lateral Movement-Verhalten können Unternehmen eine umfassende, mehrschichtige Verteidigung aufbauen.