Nhóm tin tặc Elfin nhắm mục tiêu vào nhiều công ty tại Mỹ và Ả Rập Saudi
Các nhà nghiên cứu bảo mật đến từ hãng bảo mật Symantec, một nhóm gián điệp mạng được hậu thuẫn bởi chính phủ Iran vừa bị phát hiện đang nhắm mục tiêu vào các cơ sở hạ tầng, năng lượng và quân sự quan trọng tại Mỹ và Ả Rập Saudi.
Nhóm tin tặc Elfin nhắm mục tiêu vào nhiều công ty tại Mỹ và Ả Rập Saudi - CyberSec365.org |
Nhóm tin tặc Elfin, còn được biết đến dưới tên APT33, đã hoạt động từ đầu năm 2015 và nhắm mục tiêu vào hàng loạt các tổ chức bao gồm chính phủ, nghiên cứu, hoá học, kỹ thuật, sản xuất, tư vấn, tài chính và viên thông tại Trung Đông và một số nước trên thế giới.
Theo đó, các nhà nghiên cứu bảo mật thuộc hãng bảo mật Symantec đã theo dõi nhóm Elfin kể từ đầu năm 2016, và phát hiện ra rằng trong thời gian gần đây, nhóm tin tặc này đã nhắm mục tiêu mạnh mẽ vào các tổ chức tại Ả Rập Saudi và Mỹ. Trong đó, 42% các cuộc tấn công nhắm vào các tổ chức tại Ả Rập Saudi, 34% các cuộc tấn công nhắm vào các tổ chức tại Mỹ.
Cụ thể, nhóm tin tặc Elfin đã nhắm mục tiêu tổng cộng 18 tổ chức của Mỹ trong các ngành kỹ thuật, hóa học, nghiên cứu, tư vấn năng lượng, tài chính, CNTT và chăm sóc sức khỏe trong ba năm qua, bao gồm một số công ty thuộc danh sách Fortune 500.
Tin tặc vẫn khai thác lỗ hổng WinRAR được phát hiện gần đây
Nhóm APT33 cũng đã khai thác lỗ hổng nghiêm trọng được tiết lộ gần đây (CVE-2018-20250) trong ứng dụng nén tệp WinRAR được sử dụng rộng rãi cho phép kẻ tấn công âm thầm trích xuất các tệp độc hại từ tệp lưu trữ vô hại vào thư mục Windows Startup, cuối cùng cho phép chúng thực thi mã tùy ý trên máy tính mục tiêu.
Nhóm tin tặc Elfin nhắm mục tiêu vào nhiều công ty tại Mỹ và Ả Rập Saudi - CyberSec365.org |
Lỗ hổng đã được nhóm WinRAR vá vào tháng trước nhưng được các nhóm tin tặc và các tin tặc cá nhân khai thác tích cực ngay lập tức sau khi các chi tiết và mã khai thác bằng chứng (PoC) được công khai.
Trong chiến dịch APT33, lỗ hổng CVE-2018-20250 đã được sử dụng để chống lại một tổ chức được nhắm mục tiêu trong lĩnh vực hóa học ở Ả Rập Saudi, nơi hai người dùng của họ đã nhận được một tệp qua email lừa đảo cố gắng khai thác lỗ hổng WinRAR.
Nhóm tin tặc Elfin nhắm mục tiêu vào nhiều công ty tại Mỹ và Ả Rập Saudi - CyberSec365.org |
Bên cạnh đó, nhóm tin tặc Elfin cũng sử dụng hàng loạt các công cụ độc hại bao gồm Backdoor Notestuk (còn gọi là TURNEDUP), Trojan Stiatedrill, Remcos, DarkComet, Quasar RAT, Pupy RAT, NanoCore và Netweird, cùng với nhiều công cụ khai thác có sẵn như Mimikatz, SniffPass, LaZagne và Gpppassword.
Nguồn: The Hacker News
Không có nhận xét nào