APT小组Elfin通过WinRAR漏洞从数据破坏转向数据窃取

admin

APT小组Elfin通过WinRAR漏洞从数据破坏转向数据窃取
与伊朗有关的黑客组织将技术从Shamoon wiper攻击切换到WinRAR攻击。

WinRAR漏洞

Elfin（又名APT33）是一家隶属于伊朗政府的黑客组织，被赛门铁克称为“目前在中东运营的最活跃的组织之一。”他们与美国和沙特阿拉伯公司的一系列攻击有关。特别是在航空航天和能源领域。


但是，此前该集团主要进行基于数据销毁的攻击，赛门铁克现在报告说，Elfin已将其运作方式转变为专注于鱼叉式网络钓鱼和普通软件中的已知漏洞。该组织的目标基本保持不变，但他们的目标似乎已发生变化。

赛门铁克报告说，该组织最近的攻击不是使用雨刷，而是针对使用普通软件中的漏洞进行数据泄露。赛门铁克安全响应中心研究员迪克奥布莱恩说：“最近攻击中的主要攻击点是鱼叉式网络钓鱼电子邮件，能够向收件人的计算机传送恶意软件。” “该组织还试图利用最近修补的WinRAR漏洞攻击。”

在向目标公司发送网络钓鱼电子邮件后，鼓励受害者下载文件JobDetails.rar，然后尝试利用WinRAR中的漏洞CVE-2018-20250。未修补系统上的成功感染允许攻击者在计算机上安装任何文件。

什么是Elfin，他们想要什么？
根据FireEye的说法，Elfin / APT33自2013年左右开始出现，但在使用有针对性的网络钓鱼攻击和域欺骗来提供Shamoon wiper恶意软件后，于2016年底崛起。鉴于针对沙特和美国公司以及该集团利用其他可疑伊朗威胁组织（包括Shamoon，StoneDrill，Dropshot，Turnedup等）使用的黑客工具和DNS服务器，该组织与伊朗有联系。 FireEye指出，APT33的活动表明它们的运行时间恰好与伊朗的夏令时相吻合

“根据其策略和目标，我们的评估是Elfin是一个由国家赞助的间谍组织，”O'Brien说。 “鉴于该集团的性质及其目标，我们只能推测有关信息可能对Elfin的赞助商具有战略或经济利益。”

“你的组织需要采用多层次的安全方法，以最好地确保其他防御措施可以减轻任何故障点，”O'Brien说。 “这不仅包括定期修补漏洞，还应包括多个重叠，相互支持的防御系统，以防止任何特定技术或保护方法中的单点故障。”

该集团一般专注于位于美国的航空航天[国防和商业]和能源公司 - 其中18个在过去三年中遭到袭击 - 沙特阿拉伯和韩国。它还涉及欧洲各国和中东和北非地区的工程，化学，研究和医疗保健组织。

传统上，该组扫描易受攻击的网站并识别潜在目标，无论是攻击还是创建命令和控制（C＆C）基础设施。与该组相关的恶意软件包括Shamoon 2.0和StoneDrill，它们通常用于数据破坏/雨刷攻击。

Elfin从Shamoon继续前进
Elfin长期以来一直与Shamoon有联系，Shamoon于2012年首次用于对沙特阿美公司进行破坏性袭击，但自2016年以来一直被伊朗链接的APT使用。虽然该组织不被认为是Shamoon的创造者，但它负责自2016年以来，使用修改后的版本（有时在Shamoon 2.0中称为修改版本）的使用量上升。意大利石油服务公司Saipem（其中沙特阿美公司是客户）在2018年12月因赛门铁克与Elfin有联系而遭受Shamoon袭击。

该集团此前已经注册了在其目标行业中冒充许多公司的域名，包括波音，Alsalam飞机公司，诺斯罗普格鲁曼和Vinnell，并以招聘为主题的诱饵。

“当沙特阿拉伯的Shamoon受害者也被Elfin袭击并感染Stonedrill恶意软件时，Elfin首先与Shamoon有联系，”O'Brien说。 “因为小精灵和沙姆的袭击事件发生得非常接近，所以有人猜测这两个群体可能会有联系。”

更多可能使用WinRAR漏洞的团体
Elfin小组并不是唯一一个希望利用WinRAR的人。尽管已发布了最初由Checkpoint发现的CVE-2018-20250漏洞补丁，但该软件不包含自动更新功能。 FireEye正在报告正在利用此漏洞的多个广告系列。