据赛门铁克报道称,在长达两年的时间里,持续发现一黑客组织频繁的针对沙特阿拉伯和美国的关键基础设施发动攻击,这一黑客组织就是被赛门铁克称之为Elfin的APT33。该组织早在2015年末就开始活跃起来,其针对的目标较为广泛,其中包括中东和世界其他地区的政府、研究所、化工、工程、制造、咨询、金融和电信等组织。
赛门铁克从2016年初开始,就一直在监控Elfin的攻击,并发现该组织同时针对多个组织发起了一场针对性很强的攻击,其中针对沙特阿拉伯的攻击占42%左右,而针对美国的攻击占34%左右。
Elfin过去三年曾对包括工程,化学,研究,能源咨询,金融,IT和医疗保健等领域的18个美国组织发动攻击,其中包括多家财富500强企业。
赛门铁克在其博客文章中表示,“其中一些美国组织可能已成为Elfin的目标,攻击目标主要是供应链。” “其中一个例子是,一家美国大公司在受到攻击的同一个月,其拥有的一家中东公司也受到了攻击。”
黑客利用了最近发现的WinRAR漏洞
APT33小组还使用了WinRAR最近披露的致命漏洞(CVE-2018-20250),攻击者可以将恶意文件从无害的存档文件中提取到Windows Startup文件夹,最终让它们随着目标计算机进行自启动。
WinRAR团队上个月已经修补了这个漏洞,但在其详细信息和PoC利用代码公开后,被各种黑客组织和个人所利用。
在APT33行动中,WinRAR漏洞被用来攻击沙特阿拉伯化学行业的某个组织,该组织的两名用户通过鱼叉式钓鱼邮件收到了一份文件,里面包含利用了WinRAR漏洞的恶意软件。
赛门铁克不是唯一一家发现利用WinRAR漏洞进行攻击的公司,安全公司FireEye曾经也发现过利用WinRAR漏洞安装密码窃取器、木马和其他恶意软件的攻击活动。
除了定制恶意软件,APT33还使用了几种常见的恶意软件工具,包括Remcos、DarkComet、Quasar RAT、Pupy RAT、NanoCore和NetWeird,以及许多早已公开的黑客工具,如Mimikatz、SniffPass、LaZagne和Gpppassword。
APT33 / Elfin组织攻击较为活跃
APT33小组与针对能源部门发生的Shamoon袭击浪潮有关,而Elfin成功使沙特阿拉伯的一家公司感染了名为Stonedrill的恶意软件。
“沙特阿拉伯的一名Shamoon受害者最近也遭到了Elfin的攻击,并且感染的是Elfin使用的Stonedrill恶意软件。由于Elfin和Shamoon的关系如此紧密,所以有人猜测这两个组织可能有关联。”赛门铁克说。
“然而,赛门铁克尚未发现任何进一步的证据,表明Elfin对迄今为止的Shamoon攻击事件负有责任。我们将继续密切监测这两个团体的活动。”
2017年底,网络安全公司FireEye表示,它发现有证据表明APT33是为伊朗政府工作的,而且该组织已经瞄准了航空部门(包括军事和商业)以及能源部门。
赛门铁克将APT33描述为“目前在中东运营的最活跃的群体之一”,针对不同的行业,“不断修改其攻击策略,并使用攻击所需的任何工具。”
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2019/03/apt33-cyber-espionage-hacking.html