APT34, noto anche come OilRig e MuddyWater, è di nuovo all’opera, questa volta con un attacco alla catena di fornitura mirato a ottenere accesso a obiettivi governativi negli Emirati Arabi Uniti (EAU). L’attacco è stato rivelato da Maher Yamout, ricercatore capo del Centro di Ricerca EEMEA presso Kaspersky.
Utilizzo di un modulo di reclutamento IT dannoso
Gli aggressori hanno creato un falso sito web per mascherarsi come un’azienda IT negli EAU e hanno inviato un modulo di reclutamento IT dannoso a un’azienda IT bersaglio. Quando la vittima ha aperto il documento dannoso, è stato eseguito un malware che ruba informazioni.
Collezione di informazioni sensibili
Il malware ha raccolto informazioni sensibili e credenziali che hanno permesso ad APT34 di accedere alle reti dei clienti dell’azienda IT. L’attaccante ha quindi cercato specificamente di prendere di mira i clienti governativi, utilizzando l’infrastruttura e-mail del gruppo IT vittima per la comunicazione di comando e controllo e l’esfiltrazione dei dati.
Somiglianze con attacchi precedenti
Secondo la ricerca di Kaspersky, i campioni di malware utilizzati nella campagna degli EAU assomigliavano a quelli utilizzati in un’intrusione precedente di APT34 in Giordania. In quel caso, sono state utilizzate tattiche, tecniche e procedure simili, incluso il bersaglio di entità governative.
Azioni da un reiterato aggressore cibernetico
APT34 è un gruppo di minacce iraniano che opera principalmente in Medio Oriente, mirando a organizzazioni in vari settori. Ha precedentemente condotto attività di cyber-sorveglianza, come un attacco agli EAU all’inizio di quest’anno. Spesso effettua attacchi alla catena di fornitura, sfruttando la relazione di fiducia tra le organizzazioni per attaccare i loro obiettivi principali.