De bekende crimineel collectieve APT33 die zorgvuldig is gericht op individuen en organisaties in de Verenigde Staten, Azië, en het Midden-Oosten, heeft speciale zorg genomen om ervoor te volgen moeilijker, zeggen Trend Micro onderzoekers.
APT33, die onderzoekers geloven dat wordt ondersteund door de regering van Iran, is met behulp van een eigen netwerk van VPN-nodes.
De commando- en controlestructuur domeinen van APT33 bevinden zich meestal op de cloud gehost proxies die transmit URL verzoeken van de besmette bots te backends op gedeelde webservers. Deze webservers kunnen als gastheer van duizenden legitieme domeinen. Dus, wat gebeurt er nu.
Volgens verslag van Trend Micro, “de backends melden bot gegevens terug naar een data-aggregator en bot controle server die op een dedicated IP-adres. De APT33 acteurs aan te sluiten op deze aggregators via een eigen VPN-netwerk met exit nodes die vaak worden veranderd. De APT33 acteurs geven vervolgens commando's naar de bots en verzamelen van gegevens van de bots gebruik van deze VPN-verbindingen.”
Het blijkt dat met deze nieuwe aanslag mechanismen, het hacken collectief is in de eerste plaats richten op de slachtoffers in de olie en de luchtvaartindustrie. Het merendeel van de aanvallen van dit jaar, “Ondertekend” door APT33 hebben gebruikt speervissen tot verschillende doelen compromis.
Slachtoffers van 2019's malware campagnes uitgevoerd door de dreiging acteurs gedragen hebben een eigen U.S. vennootschap met betrekking tot de nationale veiligheid, personen in verband met een universiteit en een hogeschool in de Verenigde Staten, een individu met betrekking tot de U.S.. leger, en enkele andere slachtoffers in het Midden-Oosten en Azië.
VPN Network APT33's
Bedreiging acteurs vaak gebruik commerciële VPN-diensten in hun activiteiten, maar het opzetten van private netwerken is ook een ding. Dit kan eenvoudig worden bereikt door het huren van een paar servers van internationale datacenters.
Dus, hoe waren de onderzoekers in staat om deze activiteiten bijhouden?
Hoewel de verbindingen van private VPN-netwerken komen nog steeds uit schijnbaar ongerelateerde IP-adressen wereldwijd, dit soort verkeer is eigenlijk makkelijker om bij te houden. Zodra we weten dat een exit knooppunt wordt voornamelijk gebruikt door een bepaalde acteur, kunnen we een hoge mate van vertrouwen in de toekenning van de verbindingen die zijn gemaakt van de IP-adressen van de exit node. Bijvoorbeeld, Naast toedienen C&C-servers van een privé-VPN uitgangsserver, een acteur zou ook verkenning van de netwerken targets’ te doen.
De onderzoekers geloven ook dat APT33 gebruikt waarschijnlijk haar VPN uitgangsservers uitsluitend. Trend Micro is het bijhouden van een aantal van private VPN exit nodes van de groep voor meer dan een jaar, en als een resultaat, een aantal IP-adressen die verband houden met de activiteiten van de hackers’ zijn ontdekt.
Naast de VPN-laag, de hackers ook gebruik van een bot controller laag, een commando en controle backend laag van servers die worden gebruikt om malware botnets beheren, en een proxy laag, of een verzameling van cloud proxyservers.