Elfin Team - Elfin Team

Постоянная угроза повышенной сложности 33 (APT33) - группа хакеров, идентифицированная FireEye как поддержанный правительство Ирана.[1][2] Группу также называли Изысканный котенокКраудстрайк ), Магналлиум (от Драгоша), и ГольмийMicrosoft ).[3][4][5]

История

FireEye считает, что группа образовалась не позднее 2013 года.[1]

Цели

Сообщается, что APT33 нацелен аэрокосмический, защита и нефтехимический отраслевые цели в Соединенные Штаты, Южная Корея, и Саудовская Аравия.[1][2]

Порядок работы

Сообщается, что APT33 использует капельница программа под названием DropShot, которая может развернуть щетка стеклоочистителя называется ShapeShift, или установите задняя дверь называется TurnedUp.[1] Сообщается, что группа использует инструмент ALFASHELL для отправки целевой фишинг электронные письма, загруженные вредоносными HTML-приложение файлы к своим целям.[1][2]

APT33 зарегистрировал домены, выдающие себя за многие коммерческие организации, в том числе Боинг, Alsalam Aircraft Company, Northrop Grumman и Виннелл.[2]

Идентификация

FireEye и Лаборатория Касперского отметил сходство между ShapeShift и Шамун, еще один вирус связан с Ираном.[1] APT33 также использовал фарси в ShapeShift и DropShot, и был наиболее активен во время Стандартное время Ирана часы работы, оставаясь неактивными в иранские выходные.[1][2]

Один хакер, известный псевдоним xman_1365_x был связан как с кодом инструмента TurnedUp, так и с Иранским институтом Наср, который был подключен к Иранская кибер-армия.[6][1][2][7] xman_1365_x имеет аккаунты на форумах иранских хакеров, в том числе Shabgard и Ashiyane.[6]

Смотрите также

Рекомендации

  1. ^ а б c d е ж грамм час Гринберг, Энди (20 сентября 2017 г.). «Новая группа иранских хакеров, связанная с разрушительным вредоносным ПО». Проводной.
  2. ^ а б c d е ж О'Лири, Жаклин; Кимбл, Иосия; Вандерли, Келли; Фрейзер, Налани (20 сентября 2017 г.). «Взгляд на иранский кибершпионаж: APT33 нацелен на аэрокосмический и энергетический секторы и связан с разрушительным вредоносным ПО». FireEye.
  3. ^ https://www.symantec.com/blogs/threat-intelligence/elfin-apt33-espionage
  4. ^ https://dragos.com/resource/magnallium/
  5. ^ https://www.apnews.com/c5e1d8f79e86460fbfbd4d36ae348156
  6. ^ а б Кокс, Джозеф. «Предполагаемые иранские хакеры нацелены на аэрокосмический сектор США». Ежедневный зверь. Архивировано из оригинал 21 сентября 2017 г. В часть непубличного вредоносного ПО, которое APT33 использует под названием TURNEDUP, входит имя пользователя xman_1365_x. У xman есть учетные записи на нескольких иранских хакерских форумах, таких как Shabgard и Ashiyane, хотя FireEye заявляет, что не нашла никаких доказательств того, что xman формально был частью хактивистских групп этого сайта. В своем отчете FireEye связывает xman с «Институтом Наср», хакерской группой, предположительно контролируемой иранским правительством.
  7. ^ Ошар, Эрик; Вагстафф, Джереми; Шарафедин, Бозоргмехр (20 сентября 2017 г.). Генрих, Марк (ред.). «Когда-то« котята »в мире кибершпионажа, Иран набирает хакерское мастерство: эксперты по безопасности». Рейтер. По словам Халтквиста, FireEye обнаружила некоторые связи между APT33 и Институтом Насра, которые другие эксперты связали с Иранской кибер-армией, ответвлением Стражей исламской революции, но пока не нашла никаких связей с конкретным правительственным учреждением.