گروه هکری ایرانی APT34 که پیش از این با نام OilRig شناخته میشد، شناسایی شد.
🔹 این گروه دو بدافزار بر اساس Powershell ویندوز دارد و در آخرین سری حملات خود، از باگ CVE-2017-11882 مایکروسافت آفیس بهره گرفته است.
🔹 فعالیتهای گروه APT34 در راستای اقدامات کسب اطلاعات برای ایران است.
🔹 این گروه تمرکز زیادی بر روشهای مهندسی اجتماعی، خصوصا ارسال ایمیلهای جعلی به مخاطبین خاص (Spearphishing) دارد.
🔴 این گروه پیشتر در بهار ۲۰۱۶ با نام OilRig شناخته میشد، و حملات متعددی بر روی سیستمهای بانکی عربستان سعودی انجام داده بود. این حملات نیز توسط ماکروهای اکسل انجام می شدند.
🔹 ابزارهای قدیمی این گروه با نامهای Herminth، HerHerDropper و Clayside شناخته میشدند، در حالی که ابزارهای جدید مبتنی بر Powershell با نامهای POWRUNER و BONDUPDATER شناخته میشوند.
🔴 این گروه از وی پی انهای بین المللی برای نفوذ استفاده میکرده است، که پس از تعقیب قضایی توسط FireEye آیپی آنها به ایران ردگیری شده است.
🔹 بسیاری از اهداف APT34 با اهداف گروه شناسایی شده قبلی APT33 مشابهت دارد.
🔹 استفاده از بدافزارهای مبتنی بر پاورشل ویندوز تقریبا منحصر به هکرهای ایرانی است. تحلیل آفسک حاکی پیچیدگی متوسط رو به بالای ابزارهای استفاده شده توسط این گروه است.
‼️ لازم به ذکر است که آقای استوارت دیویس، مدیر تحقیقاتی ماندیانت (شاخه تحقیقاتی فایرآی) چند سال است که از آمریکا به دوبی منتقل شده است و تمرکز کامل تیم خود را به شناسایی تیمهای هکری ایرانی اختصاص داده است.
