APT34
APT34, también conocido como OilRig o HELIX KITTEN, es un grupo de ciberespionaje patrocinado por el Estado iraní activo desde al menos 2014, conocido por atacar a organizaciones de todo Oriente Medio y más allá utilizando sofisticadas campañas de phishing y malware personalizado.
El origen de APT34
APT34 (también conocido como OilRig, HELIX KITTEN, CHRYSENE y COBALT GYPSY) es un grupo iraní de amenazas persistentes avanzadas (APT) patrocinado por el Estado y activo al menos desde 2014. Se considera que el grupo opera en nombre del Ministerio de Inteligencia y Seguridad iraní (MOIS). APT34 se centra principalmente en el cumplimiento de los objetivos de inteligencia geopolítica iraníes en Oriente Medio, Norte de África y partes de Eurasia. Conocida por sus sofisticados conjuntos de herramientas personalizadas, sus capacidades de secuestro de DNS y sus campañas estratégicas de phishing , APT34 aprovecha a menudo la ingeniería social y las herramientas disponibles públicamente para acceder a las redes objetivo y persistir en ellas.
Países objetivo de APT34
Las operaciones de APT34 se centran principalmente en países de Oriente Próximo y Eurasia Oriental, como Arabia Saudí, Emiratos Árabes Unidos, Israel, Jordania, Líbano, Irak, Bahréin, Kuwait, Yemen, Siria y Qatar. Su alcance también se extiende a Sudáfrica, Turquía, Azerbaiyán y Mauricio, lo que indica un interés regional cada vez mayor y un esfuerzo por reunir información de inteligencia más allá del vecindario inmediato.
Industrias objetivo de APT34
APT34 tiene como objetivo una amplia gama de sectores, especialmente aquellos que se alinean con la recopilación de inteligencia de interés nacional. Entre ellos se encuentran las instituciones académicas, la energía (especialmente el petróleo y el gas), la industria manufacturera, los servicios financieros, las telecomunicaciones y las entidades gubernamentales. Además, las organizaciones de los sectores tecnológico, militar, de medios de comunicación, policial y químico son objetivos frecuentes, a menudo como parte de campañas más amplias de vigilancia o interrupción.
Las víctimas de APT34
Entre las operaciones más destacadas figuran el ataque a portales israelíes de recursos humanos y empleo para establecer infraestructuras de Command and Control , y actividades de reconocimiento de organizaciones en Jordania y Siria mediante escáneres de vulnerabilidad de código abierto. El grupo tiene un historial de ataques a la cadena de suministro, abusando de las relaciones de confianza para pasar a objetivos de mayor valor en sectores gubernamentales o de infraestructuras críticas.
Método de ataque de APT34
APT34 suele utilizar correos electrónicos de phishing (a veces desde cuentas comprometidas), así como mensajes de LinkedIn para entregar cargas útiles. También crean VPN falsas o sitios web relacionados con el trabajo para atraer a las víctimas.
Aprovechan vulnerabilidades como CVE-2024-30088 y utilizan herramientas de volcado de credenciales (por ejemplo, Mimikatz) para obtener acceso a nivel de sistema o dominio.
APT34 evade la detección mediante ofuscación, uso de malware firmado, desactivación de cortafuegos del sistema y técnicas de eliminación de indicadores.
Herramientas como LaZagne, PICKPOCKET y VALUEVAULT se utilizan para volcar las credenciales de los navegadores, la memoria LSASS y el Administrador de credenciales de Windows.
Realizan un reconocimiento exhaustivo utilizando herramientas como SoftPerfect Network Scanner, WMI y varios scripts para consultar el registro, las cuentas de usuario y los servicios.
Utilizando cuentas válidas, RDP, VPN, Plink y SSH, pivotan por los sistemas y se mueven por las redes sin ser detectados.
APT34 utiliza keyloggers, ladrones de datos del portapapeles, extractores de datos del navegador y herramientas automatizadas para recopilar credenciales y archivos confidenciales.
Las cargas útiles se ejecutan a través de PowerShell, macros VBScript, archivos por lotes, WMI y archivos de ayuda HTML (CHM).
Los datos se filtran utilizando HTTP, túneles DNS, FTP e incluso a través de cuentas de correo electrónico comprometidas.
El objetivo principal es el robo de datos más que su destrucción. Su impacto es estratégico, centrándose en la recopilación de inteligencia más que en el sabotaje.
APT34 suele utilizar correos electrónicos de phishing (a veces desde cuentas comprometidas), así como mensajes de LinkedIn para entregar cargas útiles. También crean VPN falsas o sitios web relacionados con el trabajo para atraer a las víctimas.
Aprovechan vulnerabilidades como CVE-2024-30088 y utilizan herramientas de volcado de credenciales (por ejemplo, Mimikatz) para obtener acceso a nivel de sistema o dominio.
APT34 evade la detección mediante ofuscación, uso de malware firmado, desactivación de cortafuegos del sistema y técnicas de eliminación de indicadores.
Herramientas como LaZagne, PICKPOCKET y VALUEVAULT se utilizan para volcar las credenciales de los navegadores, la memoria LSASS y el Administrador de credenciales de Windows.
Realizan un reconocimiento exhaustivo utilizando herramientas como SoftPerfect Network Scanner, WMI y varios scripts para consultar el registro, las cuentas de usuario y los servicios.
Utilizando cuentas válidas, RDP, VPN, Plink y SSH, pivotan por los sistemas y se mueven por las redes sin ser detectados.
APT34 utiliza keyloggers, ladrones de datos del portapapeles, extractores de datos del navegador y herramientas automatizadas para recopilar credenciales y archivos confidenciales.
Las cargas útiles se ejecutan a través de PowerShell, macros VBScript, archivos por lotes, WMI y archivos de ayuda HTML (CHM).
Los datos se filtran utilizando HTTP, túneles DNS, FTP e incluso a través de cuentas de correo electrónico comprometidas.
El objetivo principal es el robo de datos más que su destrucción. Su impacto es estratégico, centrándose en la recopilación de inteligencia más que en el sabotaje.
TTP utilizadas por APT34
Cómo detectar APT34 con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque APT.
Preguntas frecuentes
¿Quién está detrás de APT34?
Se cree que APT34 opera bajo las órdenes del Ministerio de Inteligencia y Seguridad de Irán (MOIS), centrándose en el ciberespionaje en línea con los intereses del Estado.
¿Cuáles son los métodos de acceso inicial más comunes de APT34?
Principalmente correos electrónicos de phishing , sitios web comprometidos y participación en redes sociales, incluido el phishing basado en LinkedIn.
¿Qué tipos de malware utiliza APT34?
malware personalizado como Helminth, SaitamaAgent, AgentDrable, EarthquakeRAT, y varios web shells (TwoFace, IntrudingDivisor).
¿Cómo mantiene APT34 su persistencia en las redes de las víctimas?
Mediante tareas programadas, abuso de la página de inicio de Outlook y herramientas de acceso remoto como ngrok y software VPN.
¿Cómo exfiltra datos APT34?
A través de canales HTTP/DNS, FTP, o incluso enviando datos a través de cuentas de correo electrónico comprometidas.
¿Qué vulnerabilidades ha explotado APT34 in the wild?
Las CVE incluyen CVE-2017-0199, CVE-2017-11882, CVE-2020-0688, CVE-2018-15982 y CVE-2024-30088.
¿Qué herramientas se utilizan para acceder a las credenciales?
Entre las herramientas se incluyen Mimikatz, LaZagne, VALUEVAULT y volcadores de datos basados en navegador como CDumper y EDumper.
¿Cómo pueden las organizaciones detectar la actividad de APT34?
Supervise el uso indebido de PowerShell, los túneles DNS inusuales, los cambios sospechosos en el registro de la página de inicio de Outlook y las conexiones VPN inesperadas.
¿Cuál es la mejor manera de responder a una intrusión APT34?
Aísle los sistemas afectados, audite la reutilización de credenciales, elimine los mecanismos de persistencia y analice los registros en busca de patrones de tráfico C2 (por ejemplo, HTTP POSTs o consultas DNS inusuales).
¿Qué soluciones de detección son eficaces contra APT34?
Las soluciones de detección y respuesta de redes (NDR) son muy eficaces contra las APT34, ya que ofrecen una gran visibilidad del tráfico de este a oeste y detectan técnicas furtivas como la tunelización de DNS y el abuso de protocolos. Cuando se combinan con Endpoint Detection and Response (EDR) para la supervisión de PowerShell y WMI, y SIEM para correlacionar los comportamientos de escalada de privilegios y movimiento lateral, las organizaciones pueden establecer una defensa integral por capas.