APT小組Elfin通過WinRAR漏洞從數(shù)據(jù)破壞轉(zhuǎn)向數(shù)據(jù)竊取

admin

APT小組Elfin通過WinRAR漏洞從數(shù)據(jù)破壞轉(zhuǎn)向數(shù)據(jù)竊取
與伊朗有關(guān)的黑客組織將技術(shù)從Shamoon wiper攻擊切換到WinRAR攻擊。

Elfin（又名APT33）是一家隸屬于伊朗政府的黑客組織，被賽門鐵克稱為“目前在中東運營的最活躍的組織之一�！彼麄兣c美國和沙特阿拉伯公司的一系列攻擊有關(guān)。特別是在航空航天和能源領(lǐng)域。


但是，此前該集團主要進行基于數(shù)據(jù)銷毀的攻擊，賽門鐵克現(xiàn)在報告說，Elfin已將其運作方式轉(zhuǎn)變?yōu)閷Ｗ⒂隰~叉式網(wǎng)絡(luò)釣魚和普通軟件中的已知漏洞。該組織的目標基本保持不變，但他們的目標似乎已發(fā)生變化。

賽門鐵克報告說，該組織最近的攻擊不是使用雨刷，而是針對使用普通軟件中的漏洞進行數(shù)據(jù)泄露。賽門鐵克安全響應(yīng)中心研究員迪克奧布萊恩說：“最近攻擊中的主要攻擊點是魚叉式網(wǎng)絡(luò)釣魚電子郵件，能夠向收件人的計算機傳送惡意軟件�！� “該組織還試圖利用最近修補的WinRAR漏洞攻擊�！�

在向目標公司發(fā)送網(wǎng)絡(luò)釣魚電子郵件后，鼓勵受害者下載文件JobDetails.rar，然后嘗試利用WinRAR中的漏洞CVE-2018-20250。未修補系統(tǒng)上的成功感染允許攻擊者在計算機上安裝任何文件。

什么是Elfin，他們想要什么？
根據(jù)FireEye的說法，Elfin / APT33自2013年左右開始出現(xiàn)，但在使用有針對性的網(wǎng)絡(luò)釣魚攻擊和域欺騙來提供Shamoon wiper惡意軟件后，于2016年底崛起。鑒于針對沙特和美國公司以及該集團利用其他可疑伊朗威脅組織（包括Shamoon，StoneDrill，Dropshot，Turnedup等）使用的黑客工具和DNS服務(wù)器，該組織與伊朗有聯(lián)系。 FireEye指出，APT33的活動表明它們的運行時間恰好與伊朗的夏令時相吻合

“根據(jù)其策略和目標，我們的評估是Elfin是一個由國家贊助的間諜組織，”O(jiān)'Brien說。 “鑒于該集團的性質(zhì)及其目標，我們只能推測有關(guān)信息可能對Elfin的贊助商具有戰(zhàn)略或經(jīng)濟利益。”

“你的組織需要采用多層次的安全方法，以最好地確保其他防御措施可以減輕任何故障點，”O(jiān)'Brien說。 “這不僅包括定期修補漏洞，還應(yīng)包括多個重疊，相互支持的防御系統(tǒng)，以防止任何特定技術(shù)或保護方法中的單點故障�！�

該集團一般專注于位于美國的航空航天[國防和商業(yè)]和能源公司 - 其中18個在過去三年中遭到襲擊 - 沙特阿拉伯和韓國。它還涉及歐洲各國和中東和北非地區(qū)的工程，化學，研究和醫(yī)療保健組織。

傳統(tǒng)上，該組掃描易受攻擊的網(wǎng)站并識別潛在目標，無論是攻擊還是創(chuàng)建命令和控制（C＆C）基礎(chǔ)設(shè)施。與該組相關(guān)的惡意軟件包括Shamoon 2.0和StoneDrill，它們通常用于數(shù)據(jù)破壞/雨刷攻擊。

Elfin從Shamoon繼續(xù)前進
Elfin長期以來一直與Shamoon有聯(lián)系，Shamoon于2012年首次用于對沙特阿美公司進行破壞性襲擊，但自2016年以來一直被伊朗鏈接的APT使用。雖然該組織不被認為是Shamoon的創(chuàng)造者，但它負責自2016年以來，使用修改后的版本（有時在Shamoon 2.0中稱為修改版本）的使用量上升。意大利石油服務(wù)公司Saipem（其中沙特阿美公司是客戶）在2018年12月因賽門鐵克與Elfin有聯(lián)系而遭受Shamoon襲擊。

該集團此前已經(jīng)注冊了在其目標行業(yè)中冒充許多公司的域名，包括波音，Alsalam飛機公司，諾斯羅普格魯曼和Vinnell，并以招聘為主題的誘餌。

“當沙特阿拉伯的Shamoon受害者也被Elfin襲擊并感染Stonedrill惡意軟件時，Elfin首先與Shamoon有聯(lián)系，”O(jiān)'Brien說。 “因為小精靈和沙姆的襲擊事件發(fā)生得非常接近，所以有人猜測這兩個群體可能會有聯(lián)系。”

更多可能使用WinRAR漏洞的團體
Elfin小組并不是唯一一個希望利用WinRAR的人。盡管已發(fā)布了最初由Checkpoint發(fā)現(xiàn)的CVE-2018-20250漏洞補丁，但該軟件不包含自動更新功能。 FireEye正在報告正在利用此漏洞的多個廣告系列。