APT34

APT34（Advanced Persistent Threat）は、イランを拠点とするハッキンググループであり、OilRig、Helix Kitten、Greenbugとしても知られています。マルウェアの専門家は、APT34ハッキンググループがイラン政府によって後援されており、世界的にイランの利益を促進するために使用されていると信じています。 APT34ハッキンググループは2014年に最初に発見されました。この国が後援するハッキンググループは、エネルギー、金融、化学、防衛産業の外国企業や機関を標的にする傾向があります。

中東で運営

APT34の活動は、主に中東地域に集中しています。多くの場合、ハッキンググループは古いソフトウェアの既知のエクスプロイトを悪用します。ただし、APT34は、ソーシャルエンジニアリング手法を使用して脅威を広めることを好みます。このグループは、めったに見られない手法を使用していることで知られています。たとえば、DNSプロトコルを使用して、感染したホストと制御サーバーの間に通信チャネルを確立します。また、公開されているものを使用するのではなく、自作のハッキングツールに定期的に依存しています。

Tonedeafバックドア

最新のキャンペーンの1つでは、APT34は、エネルギー部門の従業員と外国政府で働く個人を対象としています。 APT34は、偽のソーシャルネットワークを構築し、スタッフの採用を検討しているケンブリッジ大学の代表を装いました。彼らは、PCユーザーに求人の正当性を納得させることを目的とした偽のLinkedInプロファイルを生成するところまで行っています。 APT34は、マルウェアのペイロードを運ぶ「ERFT-Details.xls」というファイルを含むメッセージを標的の被害者に送信します。ドロップされたマルウェアはTonedeafバックドアと呼ばれ、実行されるとすぐに攻撃者のC＆C（Command＆Control）サーバーに接続します。これは、POSTおよびHTTPGETリクエストを介して実現されます。 Tonedeafマルウェアは次のことができます。

• ファイルをアップロードします。
• ファイルをダウンロードします。
• 侵害されたシステムに関する情報を収集します。
• シェルコマンドを実行します。

Tonedeafバックドアは、その主な機能とは別に、感染したホストにより多くのマルウェアを仕掛けるためのAPT34のゲートウェイとして機能します。

このグループは、侵害された組織のシステムの1つだけを制御できることに確かに満足していません。彼らは、パスワード収集ツールを使用してログイン資格情報に定期的にアクセスし、それらを使用して同じ会社のネットワーク上にある他のシステムに侵入しようとしているのが見られました。

APT34は、主に開発したハッキングツールを使用する傾向がありますが、キャンペーンで公開されているツールを使用することもあります。