Un grupo de ciberespionaje vinculado a Irán que se ha encontrado apuntando a sectores críticos de infraestructura, energía y militares en Arabia Saudita y Estados Unidos hace dos años continúa apuntando a organizaciones en las dos naciones, informó Symantec el miércoles.
Ampliamente conocido como APT33que Symantec llama Duendecilloel grupo de ciberespionaje ha estado activo desde fines de 2015 y se dirigió a una amplia gama de organizaciones, incluidas organizaciones gubernamentales, de investigación, químicas, de ingeniería, de fabricación, de consultoría, financieras y de telecomunicaciones en Oriente Medio y otras partes del mundo. .
Symantec comenzó a monitorear los ataques de Elfin desde principios de 2016 y descubrió que el grupo lanzó una campaña muy dirigida contra múltiples organizaciones con un 42 % de los ataques más recientes observados contra Arabia Saudita y un 34 % contra Estados Unidos.
Elfin se centró en un total de 18 organizaciones estadounidenses en los sectores de ingeniería, química, investigación, consultoría energética, finanzas, TI y atención médica en los últimos tres años, incluidas varias empresas de Fortune 500.
«Algunas de estas organizaciones estadounidenses pueden haber sido atacadas por Elfin con el fin de montar ataques a la cadena de suministro», dijo Symantec en su blog. «En un caso, una gran empresa estadounidense fue atacada en el mismo mes, una empresa de Oriente Medio de la que es copropietaria también se vio comprometida».
Los piratas informáticos siguen explotando la falla de WinRAR descubierta recientemente
El grupo APT33 también ha estado explotando una vulnerabilidad crítica recientemente revelada (CVE-2018-20250) en la aplicación de compresión de archivos WinRAR ampliamente utilizada que permite a los atacantes extraer silenciosamente archivos maliciosos de un archivo inofensivo a una carpeta de inicio de Windows, lo que eventualmente les permite ejecutar código arbitrario en la computadora de destino.
La vulnerabilidad ya fue parcheada por el equipo de WinRAR el mes pasado, pero varios grupos de piratería y piratas informáticos individuales descubrieron que la explotaban activamente inmediatamente después de que sus detalles y el código de explotación de prueba de concepto (PoC) se hicieran públicos.
En la campaña APT33, el exploit WinRAR se usó contra una organización objetivo en el sector químico en Arabia Saudita, donde dos de sus usuarios recibieron un archivo a través de un correo electrónico de phishing que intentaba explotar la vulnerabilidad WinRAR.
Aunque Symantec no es la única empresa que detectó ataques que explotan la falla de WinRAR, la empresa de seguridad FireEye también identificó cuatro campañas separadas que se han encontrado explotando la vulnerabilidad de WinRAR para instalar ladrones de contraseñas, troyanos y otro software malicioso.
¿Y lo que es más? APT33 ha implementado una amplia gama de herramientas en su kit de herramientas de malware personalizado, incluida la puerta trasera Notestuk (también conocida como TURNEDUP), el troyano Stonedrill y una puerta trasera de malware escrita en AutoIt.
Además de su malware personalizado, APT33 también usó varias herramientas de malware básico, incluidas Remcos, DarkComet, Quasar RAT, Pupy RAT, NanoCore y NetWeird, junto con muchas herramientas de piratería disponibles públicamente, como Mimikatz, SniffPass, LaZagne y Gpppassword.
APT33 / Enlaces de Elfin a los ataques de Shamoon
En diciembre de 2018, el grupo APT33 estuvo vinculado a una ola de ataques Shamoon dirigidos al sector energético, uno de los cuales infectó a una empresa en Arabia Saudita con el malware Stonedrill utilizado por Elfin.
«Una víctima de Shamoon en Arabia Saudita también había sido atacada recientemente por Elfin y había sido infectada con el malware Stonedrill utilizado por Elfin. Debido a que los ataques de Elfin y Shamoon contra esta organización ocurrieron tan juntos, se ha especulado que los dos grupos pueden estar vinculado «, dijo Symantec.
«Sin embargo, Symantec no ha encontrado más evidencia que sugiera que Elfin fue responsable de estos ataques de Shamoon hasta la fecha. Continuamos monitoreando de cerca las actividades de ambos grupos».
A fines de 2017, la empresa de ciberseguridad FireEye dijo que encontró evidencia de que APT33 trabaja en nombre del gobierno iraní y que el grupo se ha dirigido con éxito al sector de la aviación, tanto militar como comercial, junto con organizaciones del sector energético.
Symantec describió a APT33 como «uno de los grupos más activos que operan actualmente en el Medio Oriente» dirigido a una amplia gama de sectores, con «disposición a revisar continuamente sus tácticas y encontrar las herramientas necesarias para comprometer a su próximo grupo de víctimas».