Elfin黑客集团针对多家美国和沙特阿拉伯公司

广为人知的APT33，赛门铁克称之为精灵网络间谍组织自2015年末起就一直活跃，针对中东和世界其他地区的政府、研究、化学、工程、制造、咨询、金融和电信等广泛的组织。

赛门铁克从2016年初开始监控埃尔芬的攻击，发现该组织对多个组织发起了针对性很强的攻击，最近观察到42%的攻击针对沙特阿拉伯，34%针对美国。
Elfin过去三年来共针对美国工程、化学、研究、能源咨询、金融、IT和医疗等领域的18家组织，其中包括一些财富500强公司。

 

赛门铁克在其博客文章中说：“这些美国组织中的一些可能已成为Elfin发动供应链攻击的目标”。“在一次事件中，一家美国大公司在同一个月遭到袭击，其共同拥有的一家中东公司也遭到了破坏”。

黑客仍在利用最近发现的WinRAR漏洞

APT33小组还利用了广泛使用的WinRAR文件压缩应用程序中最近披露的一个严重漏洞（CVE-2018-20250），该漏洞使得攻击者能够悄悄地将恶意文件从无害的存档文件提取到Windows启动文件夹，最终允许他们在目标计算机上执行任意代码。

WinRAR团队上个月已经修补了该漏洞，但在其详细信息和概念验证（PoC）攻击代码公开后，各黑客组织和个人黑客立即发现该漏洞被积极利用。

在APT33活动中，WinRAR漏洞被用于攻击沙特阿拉伯化工行业的一个目标组织，其中两名用户通过一封矛式钓鱼电子邮件收到一个文件，试图利用WinRAR漏洞进行攻击。

虽然Symantec不是唯一一家发现利用WinRAR漏洞进行攻击的公司，但安全公司FireEye也发现了四个单独的活动，它们利用WinRAR漏洞安装密码窃取程序、特洛伊木马和其他恶意软件。

另外？APT33在其定制恶意软件工具包中部署了多种工具，包括Notestuk后门（又名TURNEDUP）、Stonedrill特洛伊木马和用AutoIt编写的恶意软件后门。

除了定制的恶意软件外，APT33还使用了几种常见的恶意软件工具，包括Remcos、DarkComet、Quasar RAT、Pupy RAT、NanoCore和NetWeird，以及许多公开的黑客工具，如Mimikatz、SnifkPass、LaZagne和Gpppassword。

APT33/Elfin与萨满攻击的联系

2018年12月，APT33集团与针对能源行业的一波Shamoon攻击有关，其中一次攻击用Elfin使用的Stonedrill恶意软件感染了沙特阿拉伯的一家公司。

 

赛门铁克说：“沙特阿拉伯的一名萨满受害者最近也遭到了Elfin的攻击，并感染了Elfin使用的Stonedrill恶意软件。由于Elfin和针对该组织的萨满攻击发生得如此紧密，有人猜测这两个组织可能有联系”。“然而，赛门铁克没有发现进一步的证据表明埃尔芬对这些萨满袭击负有责任。我们将继续密切监测这两个组织的活动”。

2017年末，网络安全公司FireEye表示，它发现了证据，证明APT33代表伊朗政府工作，并且该组织已成功瞄准了航空业，军事和商业，以及能源部门的组织。

赛门铁克将APT33形容为“目前在中东运营的最活跃的组织之一”，目标是在不同的行业范围内，“愿意不断修改策略，并找到任何工具来折衷下一批受害者”。