APT33
Целевые сектора: аэрокосмос, энергетика
Обзор: APT33 ориентирована на организации, охватывающие несколько отраслей, со штаб-квартирами в США, Саудовской Аравии и Южной Корее. Но особый интерес APT33 проявляет к организациям авиационного сектора, занимающимися как военными, так и коммерческими разработками, а также к организациям энергетического сектора, связанным с нефтехимическим производством.
Сопутствующее вредоносное ПО: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell
Векторы атак: APT33 рассылали фишинговые письма сотрудникам, чья работа связана с авиационной промышленностью. Эти письма имели тематическое содержимое, связанное с подбором персонала в авиаотрасли и содержали ссылки на вредоносное HTML-приложение (.hta). Файлы .hta содержали описания должностей и ссылки на объявления о вакансиях на популярных веб-сайтах по трудоустройству.
APT34
Целевые сектора: эта группа имеет интересы в различных отраслях, включая финансовые, государственные, энергетические, химические и телекоммуникационные компании. В основном проводит свои операции на Ближнем Востоке.
Обзор: APT34 действует с 2014 года и участвует в операциях кибершпионажа в интересах иранского государства. Высоковероятно, что APT34 работает от имени правительства Ирана. Предположение основывается на анализе используемой ими инфраструктуры , содержащей отсылки на Иран и его геополитические интересы.
Связанное вредоносное ПО: POWBAT, POWRUNER, BONDUPDATER
Векторы атак: были замечены в эксплуатации уязвимости Microsoft Office CVE-2017-11882 для развертывания вредоносного ПО POWRUNER и BONDUPDATER.
APT39
Целевые сектора: хотя сфера интересов APT39 и является достаточно глобальной, ее деятельность сосредоточена в основном на Ближнем Востоке. APT39 отдает приоритет телекоммуникационному сектору с дополнительным нацеливанием на туриндустрию и ИТ-компании, которые поддерживают ее, а также индустрию высоких технологий.
Обзор. Внимание группы к телекоммуникационной и туристической отраслям предполагает интерес к мониторингу, отслеживанию и контролю за отдельными лицами. Группа собирает служебную информацию и данные клиентов для коммерческих или операционных целей, которые служат стратегическим требованиям Ирана или связаны с его национальными приоритетами. Группа применяет многоходовую тактику, осуществляя взломы и готовя заранее площадки для своих будущих диверсий. Ориентация на государственные организации предполагает еще одно потенциальное намерение - собирать геополитические данные, которые могут быть полезны для принятия решений в этой области.
Связанное вредоносное ПО: группа в основном использует бэкдоры SEAWEED и CACHEMONEY вместе с кастомным вариантом бэкдора POWBAT.
Векторы атак: Обычно APT39 начинает свои кампании с рассылки фишинговых писем, содержащих вредоносные вложения и/или гиперссылки, которые обычно приводят к заражению бэкдором POWBAT. В некоторых случаях также используются ранее скомпрометированные учетные записи электронной почты. Жертва, получая письмо с такого адреса, обычно доверяет его содержимому и легко открывает вложения или кликает по ссылкам. Таким образом шансы на успешную атаку серьезно повышаются. APT39 часто регистрирует и использует домены, которые маскируются под оригинальные веб-сервисы и организации, имеющие отношение к предполагаемой цели. Кроме того, эта группа регулярно выявляет уязвимые веб-серверы для установки на них веб-оболочек, таких как ANTAK и ASPXSPY, а также использует украденные учетные данные для компрометации внешних ресурсов, таких как Outlook Web Access (OWA). В эксплуатации известных уязвимостей APT39 замечена не была.
Источник: Fireeye (англ.)