El implacable grupo de espionaje también llamado APT33 (Elfin) que se dirige a varias organizaciones en Arabia Saudita y Estados Unidos mediante el despliegue de una variedad de malware en su red.
El grupo Aka APT33 se enfocó específicamente en redes corporativas y comprometió a cerca de 50 organizaciones en diferentes países desde 2015.
Los delincuentes cibernéticos exploran los sitios web vulnerables de un objetivo específico, que luego se utilizarán para ataques de malware y servidores de comando y control si el sitio web se compromete con éxito.
Hasta ahora, los atacantes comprometieron la amplia gama de objetivos, incluidos los gobiernos y las organizaciones de investigación, química, ingeniería, fabricación, consultoría, finanzas, telecomunicaciones y varios otros sectores.
El grupo Aka APT33 se centró principalmente en Arabia Saudita, con el 42% de los ataques desde 2016 y su organización comprometida 18 solo en los EE. UU. En los últimos tres años.
En este caso, Elfin se enfocó en la organización, incluidos los sectores de ingeniería, química, investigación, consultoría energética, finanzas, TI y salud en los EEUU.
Explotando las vulnerabilidades
Una campaña muy reciente, los piratas informáticos de Elfin realizaron varios intentos para explotar la vulnerabilidad de WinRAR , y se usó principalmente contra un objetivo en el sector químico en Arabia Saudita.
En este caso, explotó con éxito esta vulnerabilidad permitiendo a los atacantes. tomar El control completo de la computadora de Windows vulnerable e instalar cualquier archivo en el sistema.
Los atacantes envían correos electrónicos de phishing de spear al objetivo e intentan explotar esta vulnerabilidad de WinRAR.
Herramientas de piratería de código abierto y malware personalizado
Durante el ataque, Elfin utiliza la variedad de herramientas de piratería informática de código abierto, malware personalizado, malware básico para comprometer los diferentes objetivos.
En esta familia de malware personalizada se incluye Notestuk ( Backdoor.Notestuk ) un malware para abrir la puerta trasera y recopilar la información, Stonedrill ( Trojan.Stonedrill ) un malware personalizado capaz de abrir una puerta trasera en una computadora infectada y descargar archivos adicionales.
Elfin APT también hace uso frecuente de una serie de herramientas de piratería disponibles públicamente, que incluyen:
- LaZagne ( SecurityRisk.LaZagne ): una herramienta de recuperación de contraseña / inicio de sesión
- Mimikatz ( Hacktool.Mimikatz ): herramienta diseñada para robar credenciales
- Gpppassword : Herramienta utilizada para obtener y descifrar contraseñas de Preferencias de directiva de grupo (GPP)
- SniffPass ( SniffPass ): herramienta diseñada para robar contraseñas mediante el rastreo de tráfico de red
Además, se utilizaron muchas herramientas de software malicioso para estos ataques y tematica Disponible para su compra en el ciber underground. incluso,
- DarkComet ( Backdoor.Breut )
- Quasar RAT ( Trojan.Quasar )
- NanoCore ( Trojan.Nancrat )
- Pupy RAT ( Backdoor.Patpoopy )
- NetWeird ( Trojan.Netweird.B )