APT34
OilRig veya HELIX KITTEN olarak da bilinen APT34, en az 2014'ten beri aktif olan ve sofistike phishing kampanyaları ve özel malware kullanarak Orta Doğu ve ötesindeki kuruluşları hedef almasıyla bilinen İran devlet destekli bir siber casusluk grubudur.
APT34'ün kökeni
APT34 (OilRig, HELIX KITTEN, CHRYSENE ve COBALT GYPSY olarak da bilinir) en az 2014 yılından beri aktif olan İran devlet destekli bir Gelişmiş Kalıcı Tehdit (APT) grubudur. Grubun İran İstihbarat ve Güvenlik Bakanlığı (MOIS) adına faaliyet gösterdiği değerlendirilmektedir. APT34 öncelikle Orta Doğu, Kuzey Afrika (MENA) ve Avrasya'nın bazı bölgelerinde İran'ın jeopolitik istihbarat hedeflerini gerçekleştirmeye odaklanmıştır. Sofistike özel araç setleri, DNS ele geçirme yetenekleri ve stratejik hedefli phishing avı kampanyalarıyla tanınan APT34, hedeflenen ağlara erişmek ve bu ağlarda kalıcı olmak için genellikle sosyal mühendislik ve halka açık araçlardan yararlanır.
APT34 tarafından hedef alınan ülkeler
APT34 operasyonları öncelikle Suudi Arabistan, BAE, İsrail, Ürdün, Lübnan, Irak, Bahreyn, Kuveyt, Yemen, Suriye ve Katar dahil olmak üzere Orta Doğu ve Doğu Avrasya ülkelerine odaklanmaktadır. Erişim alanları Güney Afrika, Türkiye, Azerbaycan ve Mauritius'a da uzanmaktadır; bu da bölgesel ilginin genişlediğini ve yakın çevrenin ötesinde istihbarat toplama çabasını göstermektedir.
APT34 tarafından hedeflenen sektörler
APT34 çok çeşitli sektörleri, özellikle de ulusal çıkarlara yönelik istihbarat toplamayla uyumlu olanları hedef almaktadır. Bunlar arasında akademik kurumlar, enerji (özellikle petrol ve gaz), imalat, finansal hizmetler, telekomünikasyon ve devlet kurumları yer almaktadır. Ayrıca , teknoloji, ordu, medya, kolluk kuvvetleri ve kimya endüstrilerindeki kuruluşlar, genellikle daha geniş gözetim veya kesinti kampanyalarının bir parçası olarak sıklıkla hedef alınmaktadır.
APT34'ün kurbanları
Command and Control (C2) altyapısı kurmak için İsrail insan kaynakları ve iş portallarının taviz verilmesi ve açık kaynaklı güvenlik açığı tarayıcıları kullanarak Ürdün ve Suriye'deki kuruluşları hedef alan keşif faaliyetleri kayda değer operasyonlar arasındadır. Grubun tedarik zincirini tehlikeye atma, güven ilişkilerini suiistimal ederek hükümet veya kritik altyapı sektörlerinde daha yüksek değerli hedeflere yönelme gibi bir geçmişi vardır.
APT34'ün saldırı yöntemi
APT34, yükleri teslim etmek için genellikle kimlik phishing e-postalarının (bazen ele geçirilmiş hesaplardan) yanı sıra LinkedIn mesajlarını kullanır. Ayrıca kurbanları cezbetmek için sahte VPN veya işle ilgili web siteleri kurarlar.
CVE-2024-30088 gibi güvenlik açıklarından yararlanırlar ve SİSTEM veya etki alanı düzeyinde erişim elde etmek için kimlik bilgisi boşaltma araçlarını (örn. Mimikatz) kullanırlar.
APT34, gizleme, imzalı malware kullanımı, sistem güvenlik duvarlarının devre dışı bırakılması ve gösterge kaldırma teknikleri yoluyla tespit edilmekten kaçınır.
LaZagne, PICKPOCKET ve VALUEVAULT gibi araçlar tarayıcılardan, LSASS belleğinden ve Windows Credential Manager'dan kimlik bilgilerini dökmek için kullanılır.
Kayıt defterini, kullanıcı hesaplarını ve hizmetleri sorgulamak için SoftPerfect Network Scanner, WMI ve çeşitli komut dosyaları gibi araçları kullanarak kapsamlı bir keşif gerçekleştirirler.
Geçerli hesaplar, RDP, VPN, Plink ve SSH kullanarak sistemler arasında gezinir ve ağlarda fark edilmeden hareket ederler.
APT34, kimlik bilgilerini ve hassas dosyaları toplamak için tuş kaydediciler, pano veri hırsızları, tarayıcı veri çıkarıcıları ve otomatik araçlar kullanır.
Yükler PowerShell, VBScript makroları, toplu iş dosyaları, WMI ve HTML Yardım (CHM) dosyaları aracılığıyla yürütülür.
Veriler HTTP, DNS tünelleme, FTP ve hatta ele geçirilmiş e-posta hesapları kullanılarak dışarı sızdırılır.
Öncelikli hedefleri imhadan ziyade veri hırsızlığıdır. Etkileri stratejiktir, sabotajdan ziyade istihbarat toplamaya odaklanırlar.
APT34, yükleri teslim etmek için genellikle kimlik phishing e-postalarının (bazen ele geçirilmiş hesaplardan) yanı sıra LinkedIn mesajlarını kullanır. Ayrıca kurbanları cezbetmek için sahte VPN veya işle ilgili web siteleri kurarlar.
CVE-2024-30088 gibi güvenlik açıklarından yararlanırlar ve SİSTEM veya etki alanı düzeyinde erişim elde etmek için kimlik bilgisi boşaltma araçlarını (örn. Mimikatz) kullanırlar.
APT34, gizleme, imzalı malware kullanımı, sistem güvenlik duvarlarının devre dışı bırakılması ve gösterge kaldırma teknikleri yoluyla tespit edilmekten kaçınır.
LaZagne, PICKPOCKET ve VALUEVAULT gibi araçlar tarayıcılardan, LSASS belleğinden ve Windows Credential Manager'dan kimlik bilgilerini dökmek için kullanılır.
Kayıt defterini, kullanıcı hesaplarını ve hizmetleri sorgulamak için SoftPerfect Network Scanner, WMI ve çeşitli komut dosyaları gibi araçları kullanarak kapsamlı bir keşif gerçekleştirirler.
Geçerli hesaplar, RDP, VPN, Plink ve SSH kullanarak sistemler arasında gezinir ve ağlarda fark edilmeden hareket ederler.
APT34, kimlik bilgilerini ve hassas dosyaları toplamak için tuş kaydediciler, pano veri hırsızları, tarayıcı veri çıkarıcıları ve otomatik araçlar kullanır.
Yükler PowerShell, VBScript makroları, toplu iş dosyaları, WMI ve HTML Yardım (CHM) dosyaları aracılığıyla yürütülür.
Veriler HTTP, DNS tünelleme, FTP ve hatta ele geçirilmiş e-posta hesapları kullanılarak dışarı sızdırılır.
Öncelikli hedefleri imhadan ziyade veri hırsızlığıdır. Etkileri stratejiktir, sabotajdan ziyade istihbarat toplamaya odaklanırlar.
APT34 tarafından kullanılan TTP'ler
Vectra AI ile APT34 Nasıl Tespit Edilir
Vectra AI Platformunda bulunan ve bir APT saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
APT34'ün arkasında kim var?
APT34'ün İran İstihbarat ve Güvenlik Bakanlığı (MOIS) altında faaliyet gösterdiğine ve devlet çıkarları doğrultusunda siber casusluğa odaklandığına inanılıyor.
APT34'ün en yaygın ilk erişim yöntemleri nelerdir?
Öncelikle hedefli phishing phishing e-postaları, ele geçirilmiş web siteleri ve LinkedIn tabanlı phishing da dahil olmak üzere sosyal medya etkileşimi.
APT34 ne tür malware kullanıyor?
Helminth, SaitamaAgent, AgentDrable, EarthquakeRAT gibi özel malware ve çeşitli web kabukları (TwoFace, IntrudingDivisor).
APT34 kurban ağlarında kalıcılığını nasıl koruyor?
Zamanlanmış görevler, Outlook Ana Sayfasının kötüye kullanılması ve ngrok ve VPN yazılımı gibi uzaktan erişim araçları aracılığıyla.
APT34 verileri nasıl dışarı sızdırıyor?
HTTP/DNS kanalları, FTP veya hatta ele geçirilmiş e-posta hesapları aracılığıyla veri gönderme.
APT34 vahşi doğada hangi güvenlik açıklarından yararlandı?
CVE'ler CVE-2017-0199, CVE-2017-11882, CVE-2020-0688, CVE-2018-15982 ve CVE-2024-30088'i içerir.
Kimlik bilgilerine erişim için hangi araçlar kullanılıyor?
Araçlar arasında Mimikatz, LaZagne, VALUEVAULT ve CDumper ve EDumper gibi tarayıcı tabanlı veri dökücüleri bulunmaktadır.
Kuruluşlar APT34 faaliyetlerini nasıl tespit edebilir?
PowerShell'in kötüye kullanımı, olağandışı DNS tünelleme, şüpheli Outlook Giriş Sayfası kayıt defteri değişiklikleri ve beklenmedik VPN bağlantıları için izleyin.
APT34 izinsiz girişine yanıt vermenin en iyi yolu nedir?
Etkilenen sistemleri izole edin, kimlik bilgilerinin yeniden kullanımını denetleyin, kalıcılık mekanizmalarını kaldırın ve C2 trafik modelleri için günlükleri analiz edin (örneğin, olağandışı HTTP POST'ları veya DNS sorguları).
APT34'e karşı hangi tespit çözümleri etkilidir?
Ağ Tespit ve Yanıt (NDR) çözümleri APT34'e karşı oldukça etkilidir, doğu-batı trafiğine derinlemesine görünürlük sunar, DNS tünelleme ve protokol kötüye kullanımı gibi gizli teknikleri tespit eder. PowerShell ve WMI izleme için uç nokta Algılama ve Yanıt (EDR) ve ayrıcalık yükseltme ve yanal hareket davranışlarını ilişkilendirmek için SIEM ile birleştirildiğinde, kuruluşlar kapsamlı, katmanlı bir savunma oluşturabilir.