Goodnews.ua


Иранские кибершпионы атакуют компании в США и Саудовской Аравии

Март 28
17:03 2019

В течение последних трех лет кибершпионская группировка Elfin (другое название APT33), предположительно финансируемая правительством Ирана, активно атакует организации в США и Саудовской Аравии.

Как сообщают специалисты компании Symantec, жертвами группировки стали представители разных сфер. Помимо правительственного сектора, Elfin также интересуют производственные, инженерные и химические предприятия, исследовательские организации, консалтинговые фирмы, финансовые и телекоммуникационные компании и пр.

За последние три года жертвами Elfin стали 18 организаций в США, в том числе компании из списка Fortune 500. Некоторые из них были атакованы с целью осуществления дальнейших атак на цепочку поставок. В одном случае крупная американская компания и принадлежащая ей фирма на Среднем Востоке стали жертвой Elfin в один и тот же месяц.

Последняя волна атак была зафиксирована в феврале нынешнего года. Для их осуществления злоумышленники пытались эксплуатировать известную уязвимость в утилите WinRAR (CVE-2018-20250), позволяющую устанавливать файлы и выполнять код на системе.

Эксплоит попал на компьютеры двух сотрудников атакуемой организации через фишинговое письмо со вложенным вредоносным файлом JobDetails.rar. После его открытия на систему загружался эксплоит для CVE-2018-20250.

Elfin была замечена исследователями в декабре 2018 года в связи с новыми атаками Shamoon. Незадолго до атаки Shamoon одна из компани Саудовской Аравии была заражена вредоносным ПО Stonedrill из арсенала Elfin. Поскольку атаки последовали сразу одна за другой, эксперты предположили, что между ними может быть связь. Тем не менее, на сегодняшний день никаких других свидетельств причастности Elfin к атакам Shamoon обнаружено не было.

Помимо бэкдора Stonedrill, группировка также использует бэкдор Notestuk, открывающий доступ к файлам на атакуемой системе, и кастомизированный бэкдор на языке AutoIt. Наряду с инструментами собственного производства злоумышленники также применяют ПО, купленное на черном рынке, в том числе трояны Remcos, DarkComet, Quasar RAT и пр.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Европейские гранды сделали запрос по очередному бразильскому таланту

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua