Команда Эльфин

Advanced Persistent Threat 33 ( APT33 ) — хакерская группа, по данным FireEye , поддерживаемая правительством Ирана . ^[1]^[2] Группу также называли Elfin Team , Refined Kitten (от Crowdstrike ), Magnallium (от Dragos), Peach Sandstorm , ^[3] и гольмий (от Microsoft ). ^[4]^[5]^[6]

История

FireEye полагает, что группа образовалась не позднее 2013 года. ^[1]

Цели

Сообщается, что APT33 нацелен на объекты аэрокосмической , оборонной и нефтехимической промышленности в США , Южной Корее и Саудовской Аравии . ^[1]^[2]

Режим работы

Сообщается, что APT33 использует программу- дроппер под названием DropShot, которая может использовать вайпер под названием ShapeShift или установить бэкдор под названием TurnedUp. ^[1] Сообщается, что группа использует инструмент ALFASHELL для рассылки целевых фишинговых писем, содержащих вредоносные файлы HTML-приложений, своим целям. ^[1]^[2]

APT33 зарегистрировал домены, выдающие себя за многие коммерческие организации, включая Boeing , Alsalam Aircraft Company, Northrop Grumman и Vinnell . ^[2]

Идентификация

FireEye и «Лаборатория Касперского» отметили сходство между ShapeShift и Shamoon , еще одним вирусом, связанным с Ираном. ^[1] APT33 также использовал фарси в ShapeShift и DropShot и был наиболее активен в рабочее время по стандартному иранскому времени , оставаясь неактивным в иранские выходные. ^[1]^[2]

Один хакер, известный под псевдонимом xman_1365_x, был связан как с кодом инструмента TurnedUp, так и с иранским институтом Nasr, который связан с иранской киберармией . ^[7]^[1]^[2]^[8] xman_1365_x имеет учетные записи на иранских хакерских форумах, включая Shabgard и Ashiyane. ^[7]

См. также

Очаровательный котенок

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Гринберг, Энди (20 сентября 2017 г.). «Новая группа иранских хакеров связана с разрушительным вредоносным ПО» . Проводной .
^ Jump up to: ^а ^б ^с ^д ^и ^ж О'Лири, Жаклин; Кимбл, Иосия; Вандерли, Келли; Фрейзер, Налани (20 сентября 2017 г.). «Информация об иранском кибершпионаже: APT33 нацелен на аэрокосмический и энергетический секторы и связан с деструктивными вредоносными программами» . Огненный Глаз .
^ «Кампании по распылению паролей Peach Sandstorm позволяют собирать разведданные по особо важным объектам» . Майкрософт . 14 сентября 2023 г.
^ «Элфин: неустанная шпионская группа нацелена на несколько организаций в Саудовской Аравии и США»
^ «МАГНАЛЛИУМ | Драгос» . 30 мая 2020 г.
^ «Microsoft заявляет, что хакеры, связанные с Ираном, нацелены на бизнес» . Ассошиэйтед Пресс . 6 марта 2019 г.
^ Jump up to: ^а ^б Кокс, Джозеф (20 сентября 2017 г.). «Подозреваемые иранские хакеры атаковали аэрокосмический сектор США» . Ежедневный зверь . Архивировано из оригинала 21 сентября 2017 года. В состав закрытого вредоносного ПО, используемого APT33, под названием TURNEDUP входит имя пользователя «xman_1365_x». У xman есть учетные записи на ряде иранских хакерских форумов, таких как Shabgard и Ashiyane, хотя FireEye заявляет, что не нашла никаких доказательств того, что xman формально был частью хактивистских групп на этом сайте. В своем отчете FireEye связывает xman с «Институтом Наср», хакерской группой, предположительно контролируемой иранским правительством.
^ Ошар, Эрик; Вагстафф, Джереми; Шарафедин, Бозоргмер (20 сентября 2017 г.). Генрих, Марк (ред.). «Когда-то Иран стал «котятами» в мире кибершпионов, но теперь Иран обретает хакерское мастерство: эксперты по безопасности» . Рейтер . FireEye обнаружила некоторые связи между APT33 и Институтом Насра, который другие эксперты связывают с иранской киберармией, ответвлением Корпуса стражей исламской революции, но пока не обнаружила никаких связей с конкретным правительственным учреждением, сказал Хультквист.

[Wired-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Гринберг, Энди (20 сентября 2017 г.). «Новая группа иранских хакеров связана с разрушительным вредоносным ПО» . Проводной .

[FireEye-2] Jump up to: ^а ^б ^с ^д ^и ^ж О'Лири, Жаклин; Кимбл, Иосия; Вандерли, Келли; Фрейзер, Налани (20 сентября 2017 г.). «Информация об иранском кибершпионаже: APT33 нацелен на аэрокосмический и энергетический секторы и связан с деструктивными вредоносными программами» . Огненный Глаз .

[3] «Кампании по распылению паролей Peach Sandstorm позволяют собирать разведданные по особо важным объектам» . Майкрософт . 14 сентября 2023 г.

[4] «Элфин: неустанная шпионская группа нацелена на несколько организаций в Саудовской Аравии и США»

[5] «МАГНАЛЛИУМ | Драгос» . 30 мая 2020 г.

[6] «Microsoft заявляет, что хакеры, связанные с Ираном, нацелены на бизнес» . Ассошиэйтед Пресс . 6 марта 2019 г.

[DB-7] Jump up to: ^а ^б Кокс, Джозеф (20 сентября 2017 г.). «Подозреваемые иранские хакеры атаковали аэрокосмический сектор США» . Ежедневный зверь . Архивировано из оригинала 21 сентября 2017 года. В состав закрытого вредоносного ПО, используемого APT33, под названием TURNEDUP входит имя пользователя «xman_1365_x». У xman есть учетные записи на ряде иранских хакерских форумов, таких как Shabgard и Ashiyane, хотя FireEye заявляет, что не нашла никаких доказательств того, что xman формально был частью хактивистских групп на этом сайте. В своем отчете FireEye связывает xman с «Институтом Наср», хакерской группой, предположительно контролируемой иранским правительством.

[8] Ошар, Эрик; Вагстафф, Джереми; Шарафедин, Бозоргмер (20 сентября 2017 г.). Генрих, Марк (ред.). «Когда-то Иран стал «котятами» в мире кибершпионов, но теперь Иран обретает хакерское мастерство: эксперты по безопасности» . Рейтер . FireEye обнаружила некоторые связи между APT33 и Институтом Насра, который другие эксперты связывают с иранской киберармией, ответвлением Корпуса стражей исламской революции, но пока не обнаружила никаких связей с конкретным правительственным учреждением, сказал Хультквист.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]