El grupo de hacking APT33 ó Elfin

  • 0 Respuestas
  • 1179 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 999
  • Actividad:
    100%
  • Actividad:
    100%
  • Country: 00
  • Reputación 18
    • Ver Perfil
    • Email

El grupo de hacking APT33 ó Elfin

  • en: Marzo 29, 2019, 06:22:37 pm


Un grupo de espionaje cibernético vinculado a Irán, que se ha encontrado apuntando a sectores de infraestructura crítica, energía y militares en Arabia Saudita y Estados Unidos desde hace dos años, continúa apuntando a organizaciones en las dos naciones, informó Symantec el miércoles.

Conocido ampliamente como APT33, que Symantec denomina Elfin, el grupo de ciberespionaje ha estado activo desde finales de 2015 y se dirigió a una amplia gama de organizaciones, incluyendo gobierno, investigación, química, ingeniería, fabricación, consultoría, finanzas y telecomunicaciones. El Medio Oriente y otras partes del mundo.

Symantec comenzó a monitorear los ataques de Elfin desde principios de 2016 y encontró que el grupo lanzó una campaña muy dirigida contra múltiples organizaciones, con el 42% de los ataques más recientes observados contra Arabia Saudita y el 34% contra Estados Unidos.
Elfin apuntó a un total de 18 organizaciones estadounidenses en los sectores de ingeniería, química, investigación, consultoría energética, finanzas, TI y salud en los últimos tres años, incluidas varias compañías Fortune 500.

     "Algunas de estas organizaciones estadounidenses pueden haber sido atacadas por Elfin con el propósito de organizar ataques a la cadena de suministro", dijo Symantec en su publicación en el blog. "En una instancia, una gran compañía de Estados Unidos fue atacada el mismo mes, que una compañía del Medio Oriente que es co-propietaria, y también fue comprometida".

Los hackers siguen explotando el fallo WinRAR descubierto recientemente

El grupo APT33 también ha estado explotando una vulnerabilidad crítica (CVE-2018-20250) recientemente revelada en la aplicación de compresión de archivos WinRAR, que permite a los atacantes extraer de forma silenciosa archivos maliciosos desde un archivo inofensivo hasta una carpeta de inicio de Windows, lo que les permite finalmente Ejecutar código arbitrario en el ordenador de destino.

La vulnerabilidad ya fue parcheada por el equipo de WinRAR el mes pasado, pero varios grupos de hackers y hackers individuales la explotaron de forma activa inmediatamente después de que sus datos y el código de vulnerabilidad de prueba de concepto (PoC) se hicieran públicos.

En la campaña APT33, el exploit WinRAR se usó contra una organización específica del sector químico en Arabia Saudita, donde dos de sus usuarios recibieron un archivo a través de un correo electrónico de phishing que intentó explotar la vulnerabilidad de WinRAR.

Si bien Symantec no es la única empresa que detectó ataques que explotaban la falla de WinRAR, la firma de seguridad FireEye también identificó cuatro campañas separadas que explotaron la vulnerabilidad de WinRAR para instalar ladrones de contraseñas, troyanos y otros programas maliciosos.

Que es mas APT33 ha implementado una amplia gama de herramientas en su kit de herramientas de malware personalizado que incluye el backdoor Notestuk (también conocido como TURNEDUP), el troyano Stonedrill y un backdoor de malware escrito en AutoIt.

Además de su malware personalizado, APT33 también usó varias herramientas de malware, como Remcos, DarkComet, Quasar RAT, Pupy RAT, NanoCore y NetWeird, junto con muchas herramientas de hacking disponibles públicamente, como Mimikatz, SniffPass, LaZagne y Gpppassword.

APT33 / Elfin: Enlaces a hacia los ataques de Shamoon

En diciembre de 2018, el grupo APT33 se vinculó a una ola de ataques Shamoon dirigidos al sector energético, uno de los cuales infectó a una compañía en Arabia Saudita con el malware Stonedrill utilizado por Elfin.

    "Una víctima de Shamoon en Arabia Saudita también había sido atacada recientemente por Elfin y había sido infectada con el malware Stonedrill utilizado por Elfin. Debido a que los ataques de Elfin y Shamoon contra esta organización ocurrieron tan juntos, ha habido especulaciones de que los dos grupos pueden estar vinculado", dijo Symantec.

    "Sin embargo, Symantec no ha encontrado evidencia adicional que sugiera que Elfin haya sido responsable de estos ataques de Shamoon hasta la fecha. Continuamos monitoreando de cerca las actividades de ambos grupos".


A fines de 2017, la empresa de seguridad cibernética FireEye dijo que había evidencia de que el APT33 funciona en nombre del gobierno iraní y que el grupo se ha dirigido exitosamente al sector de la aviación, tanto militar como comercial, junto con organizaciones en el sector energético.

Symantec describió a APT33 como "uno de los grupos más activos que operan actualmente en Oriente Medio" y se dirige a una amplia gama de sectores, con "disposición a revisar continuamente sus tácticas y encontrar las herramientas necesarias para comprometer a su próximo grupo de víctimas".

Fuente:
The Hacker News
https://thehackernews.com/2019/03/apt33-cyber-espionage-hacking.html