В течение последних трех лет кибершпионская группировка Elfin (другое название APT33), предположительно финансируемая правительством Ирана, активно атакует организации в США и Саудовской Аравии.

Как сообщают специалисты компании Symantec, жертвами группировки стали представители разных сфер. Помимо правительственного сектора, Elfin также интересуют производственные, инженерные и химические предприятия, исследовательские организации, консалтинговые фирмы, финансовые и телекоммуникационные компании и пр.

За последние три года жертвами Elfin стали 18 организаций в США, в том числе компании из списка Fortune 500. Некоторые из них были атакованы с целью осуществления дальнейших атак на цепочку поставок. В одном случае крупная американская компания и принадлежащая ей фирма на Среднем Востоке стали жертвой Elfin в один и тот же месяц.

Последняя волна атак была зафиксирована в феврале нынешнего года. Для их осуществления злоумышленники пытались эксплуатировать известную уязвимость в утилите WinRAR (CVE-2018-20250), позволяющую устанавливать файлы и выполнять код на системе.

Эксплоит попал на компьютеры двух сотрудников атакуемой организации через фишинговое письмо со вложенным вредоносным файлом JobDetails.rar. После его открытия на систему загружался эксплоит для CVE-2018-20250.

Elfin была замечена исследователями в декабре 2018 года в связи с новыми атаками Shamoon. Незадолго до атаки Shamoon одна из компани Саудовской Аравии была заражена вредоносным ПО Stonedrill из арсенала Elfin. Поскольку атаки последовали сразу одна за другой, эксперты предположили, что между ними может быть связь. Тем не менее, на сегодняшний день никаких других свидетельств причастности Elfin к атакам Shamoon обнаружено не было.

Помимо бэкдора Stonedrill, группировка также использует бэкдор Notestuk, открывающий доступ к файлам на атакуемой системе, и кастомизированный бэкдор на языке AutoIt. Наряду с инструментами собственного производства злоумышленники также применяют ПО, купленное на черном рынке, в том числе трояны Remcos, DarkComet, Quasar RAT и пр.

Источник: securitylab.ru