APT小組Elfin通過WinRAR漏洞從數據破壞轉向數據竊取

admin

APT小組Elfin通過WinRAR漏洞從數據破壞轉向數據竊取
與伊朗有關的黑客組織將技術從Shamoon wiper攻擊切換到WinRAR攻擊。

Elfin（又名APT33）是一家隸屬于伊朗政府的黑客組織，被賽門鐵克稱為“目前在中東運營的最活躍的組織之一。”他們與美國和沙特阿拉伯公司的一系列攻擊有關。特別是在航空航天和能源領域。


但是，此前該集團主要進行基于數據銷毀的攻擊，賽門鐵克現在報告說，Elfin已將其運作方式轉變為專注于魚叉式網絡釣魚和普通軟件中的已知漏洞。該組織的目標基本保持不變，但他們的目標似乎已發生變化。

賽門鐵克報告說，該組織最近的攻擊不是使用雨刷，而是針對使用普通軟件中的漏洞進行數據泄露。賽門鐵克安全響應中心研究員迪克奧布萊恩說：“最近攻擊中的主要攻擊點是魚叉式網絡釣魚電子郵件，能夠向收件人的計算機傳送惡意軟件。” “該組織還試圖利用最近修補的WinRAR漏洞攻擊。”

在向目標公司發送網絡釣魚電子郵件后，鼓勵受害者下載文件JobDetails.rar，然后嘗試利用WinRAR中的漏洞CVE-2018-20250。未修補系統上的成功感染允許攻擊者在計算機上安裝任何文件。

什么是Elfin，他們想要什么？
根據FireEye的說法，Elfin / APT33自2013年左右開始出現，但在使用有針對性的網絡釣魚攻擊和域欺騙來提供Shamoon wiper惡意軟件后，于2016年底崛起。鑒于針對沙特和美國公司以及該集團利用其他可疑伊朗威脅組織（包括Shamoon，StoneDrill，Dropshot，Turnedup等）使用的黑客工具和DNS服務器，該組織與伊朗有聯系。 FireEye指出，APT33的活動表明它們的運行時間恰好與伊朗的夏令時相吻合

“根據其策略和目標，我們的評估是Elfin是一個由國家贊助的間諜組織，”O'Brien說。 “鑒于該集團的性質及其目標，我們只能推測有關信息可能對Elfin的贊助商具有戰略或經濟利益。”

“你的組織需要采用多層次的安全方法，以最好地確保其他防御措施可以減輕任何故障點，”O'Brien說。 “這不僅包括定期修補漏洞，還應包括多個重疊，相互支持的防御系統，以防止任何特定技術或保護方法中的單點故障。”

該集團一般專注于位于美國的航空航天[國防和商業]和能源公司 - 其中18個在過去三年中遭到襲擊 - 沙特阿拉伯和韓國。它還涉及歐洲各國和中東和北非地區的工程，化學，研究和醫療保健組織。

傳統上，該組掃描易受攻擊的網站并識別潛在目標，無論是攻擊還是創建命令和控制（C＆C）基礎設施。與該組相關的惡意軟件包括Shamoon 2.0和StoneDrill，它們通常用于數據破壞/雨刷攻擊。

Elfin從Shamoon繼續前進
Elfin長期以來一直與Shamoon有聯系，Shamoon于2012年首次用于對沙特阿美公司進行破壞性襲擊，但自2016年以來一直被伊朗鏈接的APT使用。雖然該組織不被認為是Shamoon的創造者，但它負責自2016年以來，使用修改后的版本（有時在Shamoon 2.0中稱為修改版本）的使用量上升。意大利石油服務公司Saipem（其中沙特阿美公司是客戶）在2018年12月因賽門鐵克與Elfin有聯系而遭受Shamoon襲擊。

該集團此前已經注冊了在其目標行業中冒充許多公司的域名，包括波音，Alsalam飛機公司，諾斯羅普格魯曼和Vinnell，并以招聘為主題的誘餌。

“當沙特阿拉伯的Shamoon受害者也被Elfin襲擊并感染Stonedrill惡意軟件時，Elfin首先與Shamoon有聯系，”O'Brien說。 “因為小精靈和沙姆的襲擊事件發生得非常接近，所以有人猜測這兩個群體可能會有聯系。”

更多可能使用WinRAR漏洞的團體
Elfin小組并不是唯一一個希望利用WinRAR的人。盡管已發布了最初由Checkpoint發現的CVE-2018-20250漏洞補丁，但該軟件不包含自動更新功能。 FireEye正在報告正在利用此漏洞的多個廣告系列。