APT34

APT34, también conocido como OilRig o HELIX KITTEN, es un grupo de ciberespionaje patrocinado por el Estado iraní activo desde al menos 2014, conocido por atacar a organizaciones de todo Oriente Medio y más allá utilizando sofisticadas campañas de phishing y malware personalizado.

¿Está su organización a salvo de los ataques de APT34?

El origen de APT34

APT34 (también conocido como OilRig, HELIX KITTEN, CHRYSENE y COBALT GYPSY) es un grupo iraní de amenazas persistentes avanzadas (APT) patrocinado por el Estado y activo al menos desde 2014. Se considera que el grupo opera en nombre del Ministerio de Inteligencia y Seguridad iraní (MOIS). APT34 se centra principalmente en el cumplimiento de los objetivos de inteligencia geopolítica iraníes en Oriente Medio, Norte de África y partes de Eurasia. Conocida por sus sofisticados conjuntos de herramientas personalizadas, sus capacidades de secuestro de DNS y sus campañas estratégicas de phishing , APT34 aprovecha a menudo la ingeniería social y las herramientas disponibles públicamente para acceder a las redes objetivo y persistir en ellas.

Países objetivo de APT34

Las operaciones de APT34 se centran principalmente en países de Oriente Próximo y Eurasia Oriental, como Arabia Saudí, Emiratos Árabes Unidos, Israel, Jordania, Líbano, Irak, Bahréin, Kuwait, Yemen, Siria y Qatar. Su alcance también se extiende a Sudáfrica, Turquía, Azerbaiyán y Mauricio, lo que indica un interés regional cada vez mayor y un esfuerzo por reunir información de inteligencia más allá del vecindario inmediato.

Industrias objetivo de APT34

APT34 tiene como objetivo una amplia gama de sectores, especialmente aquellos que se alinean con la recopilación de inteligencia de interés nacional. Entre ellos se encuentran las instituciones académicas, la energía (especialmente el petróleo y el gas), la industria manufacturera, los servicios financieros, las telecomunicaciones y las entidades gubernamentales. Además, las organizaciones de los sectores tecnológico, militar, de medios de comunicación, policial y químico son objetivos frecuentes, a menudo como parte de campañas más amplias de vigilancia o interrupción.

Las víctimas de APT34

Entre las operaciones más destacadas figuran el ataque a portales israelíes de recursos humanos y empleo para establecer infraestructuras de Command and Control , y actividades de reconocimiento de organizaciones en Jordania y Siria mediante escáneres de vulnerabilidad de código abierto. El grupo tiene un historial de ataques a la cadena de suministro, abusando de las relaciones de confianza para pasar a objetivos de mayor valor en sectores gubernamentales o de infraestructuras críticas.

Método de ataque

Método de ataque de APT34

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

APT34 suele utilizar correos electrónicos de phishing (a veces desde cuentas comprometidas), así como mensajes de LinkedIn para entregar cargas útiles. También crean VPN falsas o sitios web relacionados con el trabajo para atraer a las víctimas.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Aprovechan vulnerabilidades como CVE-2024-30088 y utilizan herramientas de volcado de credenciales (por ejemplo, Mimikatz) para obtener acceso a nivel de sistema o dominio.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

APT34 evade la detección mediante ofuscación, uso de malware firmado, desactivación de cortafuegos del sistema y técnicas de eliminación de indicadores.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Herramientas como LaZagne, PICKPOCKET y VALUEVAULT se utilizan para volcar las credenciales de los navegadores, la memoria LSASS y el Administrador de credenciales de Windows.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Realizan un reconocimiento exhaustivo utilizando herramientas como SoftPerfect Network Scanner, WMI y varios scripts para consultar el registro, las cuentas de usuario y los servicios.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Utilizando cuentas válidas, RDP, VPN, Plink y SSH, pivotan por los sistemas y se mueven por las redes sin ser detectados.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

APT34 utiliza keyloggers, ladrones de datos del portapapeles, extractores de datos del navegador y herramientas automatizadas para recopilar credenciales y archivos confidenciales.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Las cargas útiles se ejecutan a través de PowerShell, macros VBScript, archivos por lotes, WMI y archivos de ayuda HTML (CHM).

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Los datos se filtran utilizando HTTP, túneles DNS, FTP e incluso a través de cuentas de correo electrónico comprometidas.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El objetivo principal es el robo de datos más que su destrucción. Su impacto es estratégico, centrándose en la recopilación de inteligencia más que en el sabotaje.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

APT34 suele utilizar correos electrónicos de phishing (a veces desde cuentas comprometidas), así como mensajes de LinkedIn para entregar cargas útiles. También crean VPN falsas o sitios web relacionados con el trabajo para atraer a las víctimas.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Aprovechan vulnerabilidades como CVE-2024-30088 y utilizan herramientas de volcado de credenciales (por ejemplo, Mimikatz) para obtener acceso a nivel de sistema o dominio.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

APT34 evade la detección mediante ofuscación, uso de malware firmado, desactivación de cortafuegos del sistema y técnicas de eliminación de indicadores.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Herramientas como LaZagne, PICKPOCKET y VALUEVAULT se utilizan para volcar las credenciales de los navegadores, la memoria LSASS y el Administrador de credenciales de Windows.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Realizan un reconocimiento exhaustivo utilizando herramientas como SoftPerfect Network Scanner, WMI y varios scripts para consultar el registro, las cuentas de usuario y los servicios.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Utilizando cuentas válidas, RDP, VPN, Plink y SSH, pivotan por los sistemas y se mueven por las redes sin ser detectados.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

APT34 utiliza keyloggers, ladrones de datos del portapapeles, extractores de datos del navegador y herramientas automatizadas para recopilar credenciales y archivos confidenciales.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Las cargas útiles se ejecutan a través de PowerShell, macros VBScript, archivos por lotes, WMI y archivos de ayuda HTML (CHM).

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Los datos se filtran utilizando HTTP, túneles DNS, FTP e incluso a través de cuentas de correo electrónico comprometidas.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

El objetivo principal es el robo de datos más que su destrucción. Su impacto es estratégico, centrándose en la recopilación de inteligencia más que en el sabotaje.

MITRE ATT&CK Cartografía

TTP utilizadas por APT34

TA0001: Initial Access
T1566
Phishing
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1137
Office Application Startup
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1140
Deobfuscate/Decode Files or Information
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1078
Valid Accounts
TA0006: Credential Access
T1557
Adversary-in-the-Middle
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1557
Adversary-in-the-Middle
T1115
Clipboard Data
T1113
Screen Capture
T1074
Data Staged
TA0011: Command and Control
T1573
Encrypted Channel
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
T1030
Data Transfer Size Limits
TA0040: Impact
T1485
Data Destruction
Detección de plataformas

Cómo detectar APT34 con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque APT.

Preguntas frecuentes

¿Quién está detrás de APT34?

¿Cuáles son los métodos de acceso inicial más comunes de APT34?

¿Qué tipos de malware utiliza APT34?

¿Cómo mantiene APT34 su persistencia en las redes de las víctimas?

¿Cómo exfiltra datos APT34?

¿Qué vulnerabilidades ha explotado APT34 in the wild?

¿Qué herramientas se utilizan para acceder a las credenciales?

¿Cómo pueden las organizaciones detectar la actividad de APT34?

¿Cuál es la mejor manera de responder a una intrusión APT34?

¿Qué soluciones de detección son eficaces contra APT34?