APT34

APT34, également connu sous le nom d'OilRig ou HELIX KITTEN, est un groupe de cyber-espionnage parrainé par l'État iranien, actif depuis au moins 2014, connu pour cibler des organisations au Moyen-Orient et au-delà en utilisant des campagnes de phishing sophistiquées et des malware personnalisés.

Votre organisation est-elle à l'abri des attaques d'APT34 ?

L'origine de l'APT34

APT34 (également connu sous le nom de OilRig, HELIX KITTEN, CHRYSENE et COBALT GYPSY) est un groupe de menaces persistantes avancées (APT) parrainé par l'État iranien et actif depuis au moins 2014. On estime que le groupe opère pour le compte du ministère iranien du Renseignement et de la Sécurité (MOIS). APT34 est principalement axé sur la réalisation des objectifs de renseignement géopolitique de l'Iran au Moyen-Orient, en Afrique du Nord (MENA) et dans certaines parties de l'Eurasie. Connu pour ses outils personnalisés sophistiqués, ses capacités de détournement de DNS et ses campagnes stratégiques de phishing , APT34 s'appuie souvent sur l'ingénierie sociale et des outils accessibles au public pour accéder aux réseaux ciblés et s'y maintenir.

Pays ciblés par APT34

Les opérations de l'APT34 se concentrent principalement sur les pays du Moyen-Orient et de l'Eurasie orientale, notamment l'Arabie saoudite, les Émirats arabes unis, Israël, la Jordanie, le Liban, l'Irak, le Bahreïn, le Koweït, le Yémen, la Syrie et le Qatar. Elles s'étendent également à l'Afrique du Sud, à la Turquie, à l'Azerbaïdjan et à l'île Maurice, ce qui témoigne d'un intérêt croissant pour la région et d'une volonté de recueillir des renseignements au-delà du voisinage immédiat.

Industries ciblées par APT34

APT34 cible un large éventail de secteurs, en particulier ceux qui correspondent à la collecte de renseignements d'intérêt national. Il s'agit notamment des institutions universitaires, de l'énergie (en particulier le pétrole et le gaz), de l'industrie manufacturière, des services financiers, des télécommunications et des entités gouvernementales. En outre, les organisations des secteurs de la technologie, de l'armée, des médias, de l'application de la loi et de la chimie sont fréquemment ciblées, souvent dans le cadre de campagnes de surveillance ou de perturbation plus vastes.

Les victimes d'APT34

Parmi les opérations notables, on peut citer la compromission des ressources humaines et des portails d'emploi israéliens afin d'établir une infrastructure de Command and Control (C2), ainsi que des activités de reconnaissance ciblant des organisations en Jordanie et en Syrie à l'aide de scanners de vulnérabilités en libre accès. Le groupe a l'habitude de compromettre la chaîne d'approvisionnement, en abusant des relations de confiance pour se tourner vers des cibles de plus grande valeur au sein du gouvernement ou des secteurs d'infrastructures critiques.

Méthode d'attaque

Méthode d'attaque d'APT34

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

APT34 utilise généralement des courriels de phishing (parfois à partir de comptes compromis) ainsi que des messages LinkedIn pour diffuser des charges utiles. Ils mettent également en place de faux VPN ou des sites web liés à l'emploi pour attirer les victimes.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Ils exploitent des vulnérabilités telles que CVE-2024-30088 et utilisent des outils de vidage d'informations d'identification (par exemple, Mimikatz) pour obtenir un accès au niveau du système ou du domaine.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

APT34 échappe à la détection grâce à l'obscurcissement, à l'utilisation de malware signés, à la désactivation des pare-feu du système et à des techniques de suppression d'indicateurs.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Des outils tels que LaZagne, PICKPOCKET et VALUEVAULT sont utilisés pour extraire les informations d'identification des navigateurs, de la mémoire LSASS et du gestionnaire d'informations d'identification de Windows.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Ils effectuent une reconnaissance approfondie à l'aide d'outils tels que SoftPerfect Network Scanner, WMI et divers scripts pour interroger le registre, les comptes d'utilisateurs et les services.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

En utilisant des comptes valides, RDP, VPN, Plink et SSH, ils passent d'un système à l'autre et se déplacent dans les réseaux sans être détectés.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

APT34 utilise des enregistreurs de frappe, des voleurs de données de presse-papiers, des extracteurs de données de navigateur et des outils automatisés pour collecter des informations d'identification et des fichiers sensibles.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Les charges utiles sont exécutées via PowerShell, des macros VBScript, des fichiers batch, WMI et des fichiers d'aide HTML (CHM).

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les données sont exfiltrées par HTTP, tunnel DNS, FTP et même par le biais de comptes de messagerie électronique compromis.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

L'objectif premier est le vol de données plutôt que la destruction. Leur impact est stratégique et se concentre sur la collecte de renseignements plutôt que sur le sabotage.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

APT34 utilise généralement des courriels de phishing (parfois à partir de comptes compromis) ainsi que des messages LinkedIn pour diffuser des charges utiles. Ils mettent également en place de faux VPN ou des sites web liés à l'emploi pour attirer les victimes.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Ils exploitent des vulnérabilités telles que CVE-2024-30088 et utilisent des outils de vidage d'informations d'identification (par exemple, Mimikatz) pour obtenir un accès au niveau du système ou du domaine.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

APT34 échappe à la détection grâce à l'obscurcissement, à l'utilisation de malware signés, à la désactivation des pare-feu du système et à des techniques de suppression d'indicateurs.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Des outils tels que LaZagne, PICKPOCKET et VALUEVAULT sont utilisés pour extraire les informations d'identification des navigateurs, de la mémoire LSASS et du gestionnaire d'informations d'identification de Windows.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Ils effectuent une reconnaissance approfondie à l'aide d'outils tels que SoftPerfect Network Scanner, WMI et divers scripts pour interroger le registre, les comptes d'utilisateurs et les services.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

En utilisant des comptes valides, RDP, VPN, Plink et SSH, ils passent d'un système à l'autre et se déplacent dans les réseaux sans être détectés.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

APT34 utilise des enregistreurs de frappe, des voleurs de données de presse-papiers, des extracteurs de données de navigateur et des outils automatisés pour collecter des informations d'identification et des fichiers sensibles.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Les charges utiles sont exécutées via PowerShell, des macros VBScript, des fichiers batch, WMI et des fichiers d'aide HTML (CHM).

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Les données sont exfiltrées par HTTP, tunnel DNS, FTP et même par le biais de comptes de messagerie électronique compromis.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

L'objectif premier est le vol de données plutôt que la destruction. Leur impact est stratégique et se concentre sur la collecte de renseignements plutôt que sur le sabotage.

MITRE ATT&CK Mapping

TTPs utilisées par APT34

TA0001: Initial Access
T1566
Phishing
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1137
Office Application Startup
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1140
Deobfuscate/Decode Files or Information
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1078
Valid Accounts
TA0006: Credential Access
T1557
Adversary-in-the-Middle
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1557
Adversary-in-the-Middle
T1115
Clipboard Data
T1113
Screen Capture
T1074
Data Staged
TA0011: Command and Control
T1573
Encrypted Channel
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
T1030
Data Transfer Size Limits
TA0040: Impact
T1485
Data Destruction
Détections de la plate-forme

Comment détecter APT34 avec Vectra AI?

Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque APT.

Foire aux questions

Qui se cache derrière l'APT34 ?

Quelles sont les méthodes d'accès initiales les plus courantes d'APT34 ?

Quels sont les types de malware utilisés par APT34 ?

Comment APT34 maintient-il sa persistance dans les réseaux des victimes ?

Comment APT34 exfiltre-t-il les données ?

Quelles sont les vulnérabilités exploitées par APT34 dans la nature ?

Quels sont les outils utilisés pour l'accès aux données d'identification ?

Comment les organisations peuvent-elles détecter les activités d'APT34 ?

Quelle est la meilleure façon de répondre à une intrusion APT34 ?

Quelles sont les solutions de détection efficaces contre APT34 ?