Aug 14, 2023
APT34 do Irã atinge Emirados Árabes Unidos com ataque à cadeia de suprimentos
A ameaça persistente avançada ligada ao Irão, conhecida como APT34, está de volta, desta vez montando um ataque à cadeia de abastecimento com o objectivo final de obter acesso a alvos governamentais dentro dos Emirados Árabes Unidos.
A ameaça persistente avançada ligada ao Irão, conhecida como APT34, está de volta, desta vez montando um ataque à cadeia de abastecimento com o objectivo final de obter acesso a alvos governamentais dentro dos Emirados Árabes Unidos (EAU).
Maher Yamout, pesquisador-chefe de segurança do EEMEA Research Center da Kaspersky, diz que os invasores usaram um formulário malicioso de recrutamento de empregos de TI como isca. APT34 (também conhecido como OilRig) criou um site falso para se passar por uma empresa de TI nos Emirados Árabes Unidos, enviou o formulário de recrutamento para uma empresa de TI alvo e, quando a vítima abriu o documento malicioso para presumivelmente se candidatar ao emprego de TI anunciado, malware para roubo de informações executado.
Yamout diz que o malware coletou informações confidenciais e credenciais que permitiram ao APT34 acessar as redes dos clientes da empresa de TI. Ele explica que o invasor procurou atingir especificamente clientes governamentais, usando a infraestrutura de e-mail do grupo de TI da vítima para comunicação de comando e controle (C2) e exfiltração de dados. A Kaspersky não conseguiu verificar se os ataques governamentais foram bem-sucedidos devido à sua limitada visibilidade downstream, mas “avaliamos com confiança média-alta” que sim, diz Yamout, dada a taxa de sucesso típica do grupo.
De acordo com a pesquisa da Kaspersky, as amostras de malware utilizadas na campanha dos Emirados Árabes Unidos assemelhavam-se às utilizadas numa intrusão anterior na cadeia de abastecimento APT34 na Jordânia, que utilizou tácticas, técnicas e procedimentos (TTPs) semelhantes, incluindo o alvo de entidades governamentais. Nesse caso, Yamout diz suspeitar que o LinkedIn foi usado para entregar um formulário de emprego enquanto se fazia passar por um esforço de recrutamento de uma empresa de TI.
A estratégia de recrutamento de empregos é uma tática que tem sido usada por vários grupos de ataques cibernéticos ao longo dos anos, inclusive pelo grupo Lazarus da Coreia do Norte em mais de um caso, e por ciberataques que se apresentam como recrutadores militares.
O APT34 é um grupo de ameaça iraniano que opera principalmente no Oriente Médio, visando organizações nesta região que atuam em diversos setores diferentes. Anteriormente, esteve ligado a outras atividades de cibervigilância, como um ataque aos Emirados Árabes Unidos no início deste ano.
Frequentemente realiza ataques à cadeia de abastecimento, onde o grupo ameaçador aproveita a relação de confiança entre organizações para atacar os seus alvos principais, visando sistematicamente organizações específicas que parecem ter sido cuidadosamente escolhidas para fins estratégicos.
De acordo com a pesquisa da Mandiant, o APT34 está operacional desde pelo menos 2014, utiliza uma combinação de ferramentas públicas e não públicas, muitas vezes conduzindo operações de spear-phishing usando contas comprometidas, às vezes combinadas com táticas de engenharia social.
“Avaliamos que o APT34 trabalha em nome do governo iraniano com base em detalhes de infraestrutura que contêm referências ao Irã, no uso da infraestrutura iraniana e na segmentação que se alinha aos interesses do Estado-nação”, observou a Mandiant em seu relatório. É uma avaliação partilhada pelo governo dos EUA, que sancionou o Irão no ano passado pelas atividades do APT34.