קבוצת האקרים איראנית בשם APT34 פועלת במזרח התיכון נגד ממשלות

bigstockphoto IsraelDefense

פחות משבוע לאחר שמיקרוסופט פרסמה תיקון עבור CVE-2017-11882 ב -14 בנובמבר 2017, FireEye חקרה את התוקף שניצל לרעה את הפגיעות בMicrosoft Office כדי לתקוף ארגונים ממשלתיים במזרח התיכון. בחברה מעריכים כי פעילות זו בוצעה על ידי קבוצה איראנית, המכונה APT34, באמצעות דלת אחורית מבוססת PowerShell.

APT34 מעורבת בפעולה ארוכת שנים של ריגול בסייבר המתמקדת בעיקר במאמצי איסוף מודיעין לטובת האינטרסים של איראן. היא פועלת מאז שנת 2014 לפחות. קבוצה זו ביצעה מיקוד נרחב במגוון תעשיות, ממשלה, אנרגיה, כימיה ותקשורת, ומיקדה את פעילותה במזרח התיכון. הערכה היא כי APT34 פועלת מטעם ממשלת איראן בהתבסס על פרטי תשתית הכוללים התייחסויות לאיראן, שימוש בתשתית איראנית ומיקוד שמתאים לאינטרסים של מדינת לאום.

קבוצת APT34 משתמשת בתמהיל כלים ציבוריים ולא ציבוריים, ולעתים קרובות מבצעת פעולות פישינג באמצעות חשבונות שנפרצו, לעיתים בשילוב עם טקטיקות של הנדסה חברתית. בחודש מאי 2016 פורסם בלוג המפרט מסע דיוג הממקד בבנקים באזור המזרח התיכון, אשר השתמש בקבצי מאקרו המאפשרים להפיץ תוכנות זדוניות של POWBAT. פעולה זו מיוחסת כעת גם היא לקבוצת APT34.

"בחודש יולי 2017, ראינו את APT34 ממקדת מאמץ שוב במזרח התיכון באמצעות דלת אחורית מבוססת PowerShell שאנחנו קוראים לה POWRUNER ומנגנון הורדה עם פונקציונליות ייצור שמות מתחם שאנו מכנים BONDUPDATER, המבוסס על מחרוזות בתוך תוכנה זדונית. הדלת האחורית הותקנה באמצעות קובץ .rtf זדוני שניצל את CVE-2017-0199", כותבים בפייראיי.

בקמפיין האחרון, APT34 מינpv את הפגיעות האחרונה של Microsoft Office CVE-2017-11882 לפריסת POWRUNER ו- BONDUPDATER. עוד מוסיפים בדו"ח כי "לAPT34 יש קישור רופף עם הדיווח לציבור הקשור לקבוצת 'OilRig'. מאחר שארגונים שונים עשויים לעקוב אחר אויבים באמצעות קבוצות נתונים מגוונות, ייתכן שסיווגי הפעילות שלנו לא יתאימו לחלוטין", אומרים בחברה.

מקור: fireeye