APT34是什么?
APT34是一个伊朗的威胁组织,主要在中东地区活动,针对该地区的各种不同行业的组织。它之前已被关联到对UAE的其他网络监视活动。
这个威胁组织经常发动供应链攻击,利用组织之间的信任关系攻击他们的主要目标,系统地攻击那些似乎是出于战略目的而被精心选择的特定组织。
根据Mandiant的研究,APT34自2014年起就开始活动,使用公开和非公开的工具,经常进行网络钓鱼操作,并使用社交工程策略。
Mandiant在其报告中指出:“我们认为APT34是代表伊朗政府工作的,因为他们使用的设备和目标与伊朗的国家利益相一致。”这一观点也得到了美国政府的支持,他们去年因APT34的活动对伊朗实施了制裁。
APT34对阿联酋供应链的攻击
伊朗的APT34这次发起供应链攻击,最终目标是获取对阿拉伯联合酋长国(UAE)政府目标的访问权限。
卡巴斯基EEMEA研究中心首席安全研究员Maher Yamout表示,APT34(又名 OilRig)创建了一个虚假网站,伪装成阿联酋的一家 IT 公司,恶意使用IT职位招聘作为诱饵,将招聘表发送给目标 IT 公司,当受害者打开这份恶意文档,应聘所宣传的IT工作时,信息窃取恶意软件便会执行。
Yamout表示,该恶意软件收集了敏感信息和凭证,使APT34能够访问IT公司客户的网络。他解释说,攻击者专门寻找政府客户,并利用受害者IT团队的电子邮件基础设施进行命令与控制(C2)通信和数据窃取。由于下游能见度有限,卡巴斯基无法验证政府攻击是否成功,根据该组织的典型成功率,Yamout表示,它们可能已经成功进行了攻击。
根据卡巴斯基的研究,阿联酋运动中使用的恶意软件样本与之前在约旦使用的APT34供应链入侵中使用的恶意软件样本类似,这些恶意软件样本使用了类似的策略、技术和程序(TTP),并且都是以政府实体为目标。在这种情况下,Yamout说他怀疑LinkedIn被用来在冒充IT公司的招聘工作时提供招聘表。
多年来,许多网络攻击机构都使用了招聘策略,包括朝鲜的Lazarus组织不止一次使用过这种策略,还有自称是军事招聘人员的网络攻击者。
本文转载自https://www.darkreading.com/dr-global/iran-apt34-uae-supply-chain-attack,本文观点不代表墨知立场。