APT34

OilRig veya HELIX KITTEN olarak da bilinen APT34, en az 2014'ten beri aktif olan ve sofistike phishing kampanyaları ve özel malware kullanarak Orta Doğu ve ötesindeki kuruluşları hedef almasıyla bilinen İran devlet destekli bir siber casusluk grubudur.

Kuruluşunuz APT34'ün Saldırılarına Karşı Güvende mi?

APT34'ün kökeni

APT34 (OilRig, HELIX KITTEN, CHRYSENE ve COBALT GYPSY olarak da bilinir) en az 2014 yılından beri aktif olan İran devlet destekli bir Gelişmiş Kalıcı Tehdit (APT) grubudur. Grubun İran İstihbarat ve Güvenlik Bakanlığı (MOIS) adına faaliyet gösterdiği değerlendirilmektedir. APT34 öncelikle Orta Doğu, Kuzey Afrika (MENA) ve Avrasya'nın bazı bölgelerinde İran'ın jeopolitik istihbarat hedeflerini gerçekleştirmeye odaklanmıştır. Sofistike özel araç setleri, DNS ele geçirme yetenekleri ve stratejik hedefli phishing avı kampanyalarıyla tanınan APT34, hedeflenen ağlara erişmek ve bu ağlarda kalıcı olmak için genellikle sosyal mühendislik ve halka açık araçlardan yararlanır.

APT34 tarafından hedef alınan ülkeler

APT34 operasyonları öncelikle Suudi Arabistan, BAE, İsrail, Ürdün, Lübnan, Irak, Bahreyn, Kuveyt, Yemen, Suriye ve Katar dahil olmak üzere Orta Doğu ve Doğu Avrasya ülkelerine odaklanmaktadır. Erişim alanları Güney Afrika, Türkiye, Azerbaycan ve Mauritius'a da uzanmaktadır; bu da bölgesel ilginin genişlediğini ve yakın çevrenin ötesinde istihbarat toplama çabasını göstermektedir.

APT34 tarafından hedeflenen sektörler

APT34 çok çeşitli sektörleri, özellikle de ulusal çıkarlara yönelik istihbarat toplamayla uyumlu olanları hedef almaktadır. Bunlar arasında akademik kurumlar, enerji (özellikle petrol ve gaz), imalat, finansal hizmetler, telekomünikasyon ve devlet kurumları yer almaktadır. Ayrıca , teknoloji, ordu, medya, kolluk kuvvetleri ve kimya endüstrilerindeki kuruluşlar, genellikle daha geniş gözetim veya kesinti kampanyalarının bir parçası olarak sıklıkla hedef alınmaktadır.

APT34'ün kurbanları

Command and Control (C2) altyapısı kurmak için İsrail insan kaynakları ve iş portallarının taviz verilmesi ve açık kaynaklı güvenlik açığı tarayıcıları kullanarak Ürdün ve Suriye'deki kuruluşları hedef alan keşif faaliyetleri kayda değer operasyonlar arasındadır. Grubun tedarik zincirini tehlikeye atma, güven ilişkilerini suiistimal ederek hükümet veya kritik altyapı sektörlerinde daha yüksek değerli hedeflere yönelme gibi bir geçmişi vardır.

Saldırı Yöntemi

APT34'ün saldırı yöntemi

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

APT34, yükleri teslim etmek için genellikle kimlik phishing e-postalarının (bazen ele geçirilmiş hesaplardan) yanı sıra LinkedIn mesajlarını kullanır. Ayrıca kurbanları cezbetmek için sahte VPN veya işle ilgili web siteleri kurarlar.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

CVE-2024-30088 gibi güvenlik açıklarından yararlanırlar ve SİSTEM veya etki alanı düzeyinde erişim elde etmek için kimlik bilgisi boşaltma araçlarını (örn. Mimikatz) kullanırlar.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

APT34, gizleme, imzalı malware kullanımı, sistem güvenlik duvarlarının devre dışı bırakılması ve gösterge kaldırma teknikleri yoluyla tespit edilmekten kaçınır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

LaZagne, PICKPOCKET ve VALUEVAULT gibi araçlar tarayıcılardan, LSASS belleğinden ve Windows Credential Manager'dan kimlik bilgilerini dökmek için kullanılır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Kayıt defterini, kullanıcı hesaplarını ve hizmetleri sorgulamak için SoftPerfect Network Scanner, WMI ve çeşitli komut dosyaları gibi araçları kullanarak kapsamlı bir keşif gerçekleştirirler.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Geçerli hesaplar, RDP, VPN, Plink ve SSH kullanarak sistemler arasında gezinir ve ağlarda fark edilmeden hareket ederler.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

APT34, kimlik bilgilerini ve hassas dosyaları toplamak için tuş kaydediciler, pano veri hırsızları, tarayıcı veri çıkarıcıları ve otomatik araçlar kullanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Yükler PowerShell, VBScript makroları, topludosyaları, WMI ve HTML Yardım (CHM) dosyaları aracılığıyla yürütülür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veriler HTTP, DNS tünelleme, FTP ve hatta ele geçirilmiş e-posta hesapları kullanılarak dışarı sızdırılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Öncelikli hedefleri imhadan ziyade veri hırsızlığıdır. Etkileri stratejiktir, sabotajdan ziyade istihbarat toplamaya odaklanırlar.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

APT34, yükleri teslim etmek için genellikle kimlik phishing e-postalarının (bazen ele geçirilmiş hesaplardan) yanı sıra LinkedIn mesajlarını kullanır. Ayrıca kurbanları cezbetmek için sahte VPN veya işle ilgili web siteleri kurarlar.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

CVE-2024-30088 gibi güvenlik açıklarından yararlanırlar ve SİSTEM veya etki alanı düzeyinde erişim elde etmek için kimlik bilgisi boşaltma araçlarını (örn. Mimikatz) kullanırlar.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

APT34, gizleme, imzalı malware kullanımı, sistem güvenlik duvarlarının devre dışı bırakılması ve gösterge kaldırma teknikleri yoluyla tespit edilmekten kaçınır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

LaZagne, PICKPOCKET ve VALUEVAULT gibi araçlar tarayıcılardan, LSASS belleğinden ve Windows Credential Manager'dan kimlik bilgilerini dökmek için kullanılır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Kayıt defterini, kullanıcı hesaplarını ve hizmetleri sorgulamak için SoftPerfect Network Scanner, WMI ve çeşitli komut dosyaları gibi araçları kullanarak kapsamlı bir keşif gerçekleştirirler.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Geçerli hesaplar, RDP, VPN, Plink ve SSH kullanarak sistemler arasında gezinir ve ağlarda fark edilmeden hareket ederler.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

APT34, kimlik bilgilerini ve hassas dosyaları toplamak için tuş kaydediciler, pano veri hırsızları, tarayıcı veri çıkarıcıları ve otomatik araçlar kullanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Yükler PowerShell, VBScript makroları, topludosyaları, WMI ve HTML Yardım (CHM) dosyaları aracılığıyla yürütülür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veriler HTTP, DNS tünelleme, FTP ve hatta ele geçirilmiş e-posta hesapları kullanılarak dışarı sızdırılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Öncelikli hedefleri imhadan ziyade veri hırsızlığıdır. Etkileri stratejiktir, sabotajdan ziyade istihbarat toplamaya odaklanırlar.

MITRE ATT&CK Haritalama

APT34 tarafından kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1137
Office Application Startup
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1140
Deobfuscate/Decode Files or Information
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1078
Valid Accounts
TA0006: Credential Access
T1557
Adversary-in-the-Middle
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1557
Adversary-in-the-Middle
T1115
Clipboard Data
T1113
Screen Capture
T1074
Data Staged
TA0011: Command and Control
T1573
Encrypted Channel
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
T1030
Data Transfer Size Limits
TA0040: Impact
T1485
Data Destruction
Platform Tespitleri

Vectra AI ile APT34 Nasıl Tespit Edilir

Vectra AI Platformunda bulunan ve bir APT saldırısına işaret edebilecek Tespitlerin listesi.

Sıkça Sorulan Sorular

APT34'ün arkasında kim var?

APT34'ün en yaygın ilk erişim yöntemleri nelerdir?

APT34 ne tür malware kullanıyor?

APT34 kurban ağlarında kalıcılığını nasıl koruyor?

APT34 verileri nasıl dışarı sızdırıyor?

APT34 vahşi doğada hangi güvenlik açıklarından yararlandı?

Kimlik bilgilerine erişim için hangi araçlar kullanılıyor?

Kuruluşlar APT34 faaliyetlerini nasıl tespit edebilir?

APT34 izinsiz girişine yanıt vermenin en iyi yolu nedir?

APT34'e karşı hangi tespit çözümleri etkilidir?