La APT33 collective criminelle bien connue qui a été soigneusement cibler les individus et organisations aux États-Unis, Asie, et au Moyen-Orient, a pris un soin particulier à faire le suivi plus difficile, disent les chercheurs de Trend Micro.
APT33, qui croient les chercheurs est soutenu par le gouvernement de l'Iran, a utilisé son propre réseau de noeuds VPN.
Les domaines de commandement et de contrôle de APT33 sont généralement situés sur proxies nuage hébergée demandes d'URL de transmission des bots infectés à backends à webservers partagés. Ces serveurs Web pourraient être accueillant des milliers de domaines légitimes. Si, ce qui se passe à côté.
Selon Le rapport de Trend Micro, “les backends données du rapport bot retour à un agrégateur de données et de contrôle du serveur de bot qui est sur une adresse IP dédiée. Les acteurs de APT33 se connecter à ces agrégateurs via un réseau VPN privé avec des noeuds de sortie qui sont changés fréquemment. Les acteurs de APT33 émettent ensuite des commandes aux bots et les données des robots virés en utilisant ces connexions VPN.”
Il semble que ces derniers mécanismes d'attaque, le collectif de piratage a été principalement victimes cible dans l'huile et les industries de l'aviation. La plupart des attaques de cette année, « Signé » par APT33 ont utilisé hameçonnage de compromettre diverses cibles.
Les victimes de campagnes de programmes malveillants de 2019 menées par les acteurs de la menace comprennent un U.S privé. société liée à la sécurité nationale, personnes liées à une université et un collège aux États-Unis, une personne liée à l'U.S. militaire, et d'autres victimes au Moyen-Orient et en Asie.
VPN Réseau APT33
acteurs de menaces utilisent souvent services VPN commerciaux dans leurs opérations, mais la mise en place des réseaux privés est aussi une chose. Cela peut facilement être accompli en louant un couple de serveurs de centres de données internationaux.
Si, comment étaient les chercheurs en mesure de suivre cette activité?
Bien que les connexions des réseaux VPN privés viennent encore des adresses IP apparemment sans rapport dans le monde, ce genre de trafic est en fait plus facile à suivre. Une fois que nous savons qu'un noeud de sortie est principalement utilisé par un acteur particulier, nous pouvons avoir un haut degré de confiance quant à l'attribution des connexions qui sont faites à partir des adresses IP du noeud de sortie. Par exemple, En plus de l'administration C&C serveurs à partir d'un noeud de sortie VPN privé, un acteur peut aussi faire la reconnaissance des réseaux de cibles.
Les chercheurs pensent également que APT33 utilise probablement ses noeuds de sortie VPN exclusivement. Trend Micro a été suivi de certains des noeuds de sortie VPN privée du groupe depuis plus d'un an, et comme résultat, certaines adresses IP liées aux opérations des pirates ont été découverts.
En plus de la couche VPN, les pirates utilisent également une couche de contrôle de robot, une couche d'arrière-plan et le commandement de serveurs utilisés pour gérer les réseaux de robots logiciels malveillants, et une couche proxy, ou un ensemble de serveurs proxy cloud.