Aug 14, 2023
L'APT34 iraniano colpisce gli Emirati Arabi Uniti con un attacco alla catena di approvvigionamento
La minaccia avanzata persistente collegata all’Iran nota come APT34 è di nuovo all’opera, questa volta lanciando un attacco alla catena di approvvigionamento con l’obiettivo finale di ottenere l’accesso a obiettivi governativi all’interno degli Emirati Arabi Uniti.
La minaccia avanzata persistente legata all’Iran nota come APT34 è di nuovo all’opera, questa volta lanciando un attacco alla catena di approvvigionamento con l’obiettivo finale di ottenere l’accesso a obiettivi governativi all’interno degli Emirati Arabi Uniti (EAU).
Maher Yamout, capo ricercatore sulla sicurezza del Centro di ricerca EEMEA di Kaspersky, afferma che gli aggressori hanno utilizzato un modulo di reclutamento di posti di lavoro IT dannoso come esca. APT34 (alias OilRig) ha creato un sito Web falso mascherato da società IT negli Emirati Arabi Uniti, ha inviato il modulo di reclutamento a una società IT presa di mira e quando la vittima ha aperto il documento dannoso per candidarsi presumibilmente per il lavoro IT pubblicizzato, malware in grado di rubare informazioni eseguito.
Yamout afferma che il malware raccoglieva informazioni sensibili e credenziali che consentivano ad APT34 di accedere alle reti dei clienti dell'azienda IT. Spiega che l'aggressore ha quindi cercato specificamente di prendere di mira i clienti governativi, utilizzando l'infrastruttura di posta elettronica del gruppo IT della vittima per la comunicazione di comando e controllo (C2) e l'esfiltrazione di dati. Kaspersky non ha potuto verificare se gli attacchi governativi abbiano avuto successo a causa della sua limitata visibilità a valle, ma "valutiamo con un livello di confidenza medio-alto" che lo siano stati, dice Yamout, dato il tasso di successo tipico del gruppo.
Secondo la ricerca di Kaspersky, i campioni di malware utilizzati nella campagna negli Emirati Arabi Uniti somigliavano a quelli utilizzati in una precedente intrusione nella catena di fornitura APT34 in Giordania che utilizzava tattiche, tecniche e procedure (TTP) simili, incluso il targeting di enti governativi. In quel caso, Yamout afferma di sospettare che LinkedIn fosse stato utilizzato per fornire un modulo di lavoro spacciandosi per l'attività di reclutamento di un'azienda IT.
La mossa del reclutamento di lavoro è una tattica che è stata utilizzata da numerosi gruppi di attacco informatico nel corso degli anni, incluso il gruppo Lazarus della Corea del Nord in più di un caso, e da cyberattaccanti che pretendono di essere reclutatori militari.
APT34 è un gruppo di minaccia iraniano che opera principalmente in Medio Oriente prendendo di mira le organizzazioni di questa regione che operano in una varietà di settori diversi. In precedenza è stato collegato ad altre attività di sorveglianza informatica, come un attacco agli Emirati Arabi Uniti all’inizio di quest’anno.
Spesso effettua attacchi alla catena di fornitura, in cui il gruppo di minaccia sfrutta il rapporto di fiducia tra le organizzazioni per attaccare i propri obiettivi primari, prendendo di mira sistematicamente organizzazioni specifiche che sembrano essere scelte con cura per scopi strategici.
Secondo una ricerca di Mandiant, APT34 è operativo almeno dal 2014, utilizza un mix di strumenti pubblici e non pubblici, spesso conducendo operazioni di spear-phishing utilizzando account compromessi, a volte abbinati a tattiche di ingegneria sociale.
"Valutiamo che APT34 lavora per conto del governo iraniano sulla base di dettagli infrastrutturali che contengono riferimenti all'Iran, all'uso delle infrastrutture iraniane e a obiettivi in linea con gli interessi dello stato nazionale", ha osservato Mandiant nel suo rapporto. È una valutazione condivisa dal governo degli Stati Uniti, che lo scorso anno ha sanzionato l'Iran per le attività di APT34.