APT34
APT34, également connu sous le nom d'OilRig ou HELIX KITTEN, est un groupe de cyber-espionnage parrainé par l'État iranien, actif depuis au moins 2014, connu pour cibler des organisations au Moyen-Orient et au-delà en utilisant des campagnes de phishing sophistiquées et des malware personnalisés.
L'origine de l'APT34
APT34 (également connu sous le nom de OilRig, HELIX KITTEN, CHRYSENE et COBALT GYPSY) est un groupe de menaces persistantes avancées (APT) parrainé par l'État iranien et actif depuis au moins 2014. On estime que le groupe opère pour le compte du ministère iranien du Renseignement et de la Sécurité (MOIS). APT34 est principalement axé sur la réalisation des objectifs de renseignement géopolitique de l'Iran au Moyen-Orient, en Afrique du Nord (MENA) et dans certaines parties de l'Eurasie. Connu pour ses outils personnalisés sophistiqués, ses capacités de détournement de DNS et ses campagnes stratégiques de phishing , APT34 s'appuie souvent sur l'ingénierie sociale et des outils accessibles au public pour accéder aux réseaux ciblés et s'y maintenir.
Pays ciblés par APT34
Les opérations de l'APT34 se concentrent principalement sur les pays du Moyen-Orient et de l'Eurasie orientale, notamment l'Arabie saoudite, les Émirats arabes unis, Israël, la Jordanie, le Liban, l'Irak, le Bahreïn, le Koweït, le Yémen, la Syrie et le Qatar. Elles s'étendent également à l'Afrique du Sud, à la Turquie, à l'Azerbaïdjan et à l'île Maurice, ce qui témoigne d'un intérêt croissant pour la région et d'une volonté de recueillir des renseignements au-delà du voisinage immédiat.
Industries ciblées par APT34
APT34 cible un large éventail de secteurs, en particulier ceux qui correspondent à la collecte de renseignements d'intérêt national. Il s'agit notamment des institutions universitaires, de l'énergie (en particulier le pétrole et le gaz), de l'industrie manufacturière, des services financiers, des télécommunications et des entités gouvernementales. En outre, les organisations des secteurs de la technologie, de l'armée, des médias, de l'application de la loi et de la chimie sont fréquemment ciblées, souvent dans le cadre de campagnes de surveillance ou de perturbation plus vastes.
Les victimes d'APT34
Parmi les opérations notables, on peut citer la compromission des ressources humaines et des portails d'emploi israéliens afin d'établir une infrastructure de Command and Control (C2), ainsi que des activités de reconnaissance ciblant des organisations en Jordanie et en Syrie à l'aide de scanners de vulnérabilités en libre accès. Le groupe a l'habitude de compromettre la chaîne d'approvisionnement, en abusant des relations de confiance pour se tourner vers des cibles de plus grande valeur au sein du gouvernement ou des secteurs d'infrastructures critiques.
Méthode d'attaque d'APT34
APT34 utilise généralement des courriels de phishing (parfois à partir de comptes compromis) ainsi que des messages LinkedIn pour diffuser des charges utiles. Ils mettent également en place de faux VPN ou des sites web liés à l'emploi pour attirer les victimes.
Ils exploitent des vulnérabilités telles que CVE-2024-30088 et utilisent des outils de vidage d'informations d'identification (par exemple, Mimikatz) pour obtenir un accès au niveau du système ou du domaine.
APT34 échappe à la détection grâce à l'obscurcissement, à l'utilisation de malware signés, à la désactivation des pare-feu du système et à des techniques de suppression d'indicateurs.
Des outils tels que LaZagne, PICKPOCKET et VALUEVAULT sont utilisés pour extraire les informations d'identification des navigateurs, de la mémoire LSASS et du gestionnaire d'informations d'identification de Windows.
Ils effectuent une reconnaissance approfondie à l'aide d'outils tels que SoftPerfect Network Scanner, WMI et divers scripts pour interroger le registre, les comptes d'utilisateurs et les services.
En utilisant des comptes valides, RDP, VPN, Plink et SSH, ils passent d'un système à l'autre et se déplacent dans les réseaux sans être détectés.
APT34 utilise des enregistreurs de frappe, des voleurs de données de presse-papiers, des extracteurs de données de navigateur et des outils automatisés pour collecter des informations d'identification et des fichiers sensibles.
Les charges utiles sont exécutées via PowerShell, des macros VBScript, des fichiers batch, WMI et des fichiers d'aide HTML (CHM).
Les données sont exfiltrées par HTTP, tunnel DNS, FTP et même par le biais de comptes de messagerie électronique compromis.
L'objectif premier est le vol de données plutôt que la destruction. Leur impact est stratégique et se concentre sur la collecte de renseignements plutôt que sur le sabotage.
APT34 utilise généralement des courriels de phishing (parfois à partir de comptes compromis) ainsi que des messages LinkedIn pour diffuser des charges utiles. Ils mettent également en place de faux VPN ou des sites web liés à l'emploi pour attirer les victimes.
Ils exploitent des vulnérabilités telles que CVE-2024-30088 et utilisent des outils de vidage d'informations d'identification (par exemple, Mimikatz) pour obtenir un accès au niveau du système ou du domaine.
APT34 échappe à la détection grâce à l'obscurcissement, à l'utilisation de malware signés, à la désactivation des pare-feu du système et à des techniques de suppression d'indicateurs.
Des outils tels que LaZagne, PICKPOCKET et VALUEVAULT sont utilisés pour extraire les informations d'identification des navigateurs, de la mémoire LSASS et du gestionnaire d'informations d'identification de Windows.
Ils effectuent une reconnaissance approfondie à l'aide d'outils tels que SoftPerfect Network Scanner, WMI et divers scripts pour interroger le registre, les comptes d'utilisateurs et les services.
En utilisant des comptes valides, RDP, VPN, Plink et SSH, ils passent d'un système à l'autre et se déplacent dans les réseaux sans être détectés.
APT34 utilise des enregistreurs de frappe, des voleurs de données de presse-papiers, des extracteurs de données de navigateur et des outils automatisés pour collecter des informations d'identification et des fichiers sensibles.
Les charges utiles sont exécutées via PowerShell, des macros VBScript, des fichiers batch, WMI et des fichiers d'aide HTML (CHM).
Les données sont exfiltrées par HTTP, tunnel DNS, FTP et même par le biais de comptes de messagerie électronique compromis.
L'objectif premier est le vol de données plutôt que la destruction. Leur impact est stratégique et se concentre sur la collecte de renseignements plutôt que sur le sabotage.
TTPs utilisées par APT34
Comment détecter APT34 avec Vectra AI?
Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque APT.
Foire aux questions
Qui se cache derrière l'APT34 ?
APT34 opérerait sous l'égide du ministère iranien du Renseignement et de la Sécurité (MOIS) et se concentrerait sur le cyber-espionnage en accord avec les intérêts de l'État.
Quelles sont les méthodes d'accès initiales les plus courantes d'APT34 ?
Principalement des courriels de phishing , des sites web compromis et l'engagement dans les médias sociaux, y compris le phishing basé sur LinkedIn.
Quels sont les types de malware utilisés par APT34 ?
Des malware personnalisés tels que Helminth, SaitamaAgent, AgentDrable, EarthquakeRAT et divers shells web (TwoFace, IntrudingDivisor).
Comment APT34 maintient-il sa persistance dans les réseaux des victimes ?
Par le biais de tâches programmées, de l'utilisation abusive de la page d'accueil d'Outlook et d'outils d'accès à distance tels que ngrok et les logiciels VPN.
Comment APT34 exfiltre-t-il les données ?
Via des canaux HTTP/DNS, FTP, ou même en envoyant des données par l'intermédiaire de comptes de messagerie électronique compromis.
Quelles sont les vulnérabilités exploitées par APT34 dans la nature ?
Les CVE incluent CVE-2017-0199, CVE-2017-11882, CVE-2020-0688, CVE-2018-15982, et CVE-2024-30088.
Quels sont les outils utilisés pour l'accès aux données d'identification ?
Les outils comprennent Mimikatz, LaZagne, VALUEVAULT et des dumpers de données basés sur un navigateur comme CDumper et EDumper.
Comment les organisations peuvent-elles détecter les activités d'APT34 ?
Surveillez les utilisations abusives de PowerShell, les tunnels DNS inhabituels, les modifications suspectes du registre de la page d'accueil d'Outlook et les connexions VPN inattendues.
Quelle est la meilleure façon de répondre à une intrusion APT34 ?
Isoler les systèmes affectés, vérifier la réutilisation des informations d'identification, supprimer les mécanismes de persistance et analyser les journaux pour y déceler des schémas de trafic C2 (par exemple, des POST HTTP ou des requêtes DNS inhabituelles).
Quelles sont les solutions de détection efficaces contre APT34 ?
Les solutions de détection et réponse aux incidents (NDR) sont très efficaces contre APT34, car elles offrent une visibilité approfondie du trafic est-ouest et détectent des techniques furtives telles que les tunnels DNS et les abus de protocole. Lorsqu'elles sont associées à la détection et à la réponse aux Endpoint (EDR) pour la surveillance de PowerShell et de WMI, et au SIEM pour la corrélation des comportements d'escalade des privilèges et de mouvement latéral, les organisations peuvent mettre en place une défense complète et stratifiée.